Nos primórdios da internet, todas as requisições e respostas dos sites eram transferidas em "texto simples". Isso significava que elas podiam ser visualizadas por "enxeridos" da internet, tornando arriscado transmitir informações privadas como nomes de login, números de cartão de crédito e outras informações pessoais.
Em meados dos anos 90, a Netscape desenvolveu um protocolo de segurança para criptografar informações confidenciais para entrega e transferência de conteúdo na web. Esse protocolo foi chamado de SSL (Secure Sockets Layer) e, mais tarde, evoluiria para outro protocolo chamado TLS (Transport Layer Security).
Embora SSL e TLS sejam diferentes em termos de capacidades e arquitetura, ambos oferecem segurança por meio de uma tecnologia digital chamada certificado SSL.
O que é um certificado SSL?
Um certificado SSL é um certificado digital que autentica a identidade de um site e cria uma conexão criptografada entre o site e um navegador. O certificado SSL às vezes é chamado de "certificado SSL/TLS" ou simplesmente "cert".
Os certificados SSL protegem a identidade da conexão remota e tornam as interações online privadas, garantindo que ninguém, exceto o remetente e o destinatário, possa ler ou modificar o conteúdo compartilhado através da conexão segura. Um certificado SSL atua como um passaporte para verificar a identidade do proprietário do site e como uma chave para manter os dados do usuário seguros por meio de uma criptografia robusta.
O que é uma autoridade certificadora SSL?
Os certificados SSL são emitidos por organizações chamadas autoridades certificadoras. Uma CA é uma organização terceirizada confiável que garante a identidade de um site. Além disso, por não existirem muitas em operação, elas se tornam confiáveis, bem conhecidas e atuam num setor que possui altas barreiras de entrada. Existem pouco mais de 100 autoridades certificadoras em todo o mundo, e elas são auditadas para serem incluÃdas como uma fonte confiável pelos navegadores web e sistemas operacionais.
Antes de emitir um certificado, a CA verifica as informações do solicitante do certificado, como propriedade do site, nome, localização e mais, de acordo com os padrões estabelecidos pelo setor. A CA também assina digitalmente o certificado com sua própria chave privada, permitindo que os clientes o verifiquem. Para fornecer esse serviço, a maioria das CAs cobra uma pequena taxa anual (embora certificados SSL gratuitos estejam disponÃveis através de alguns serviços de hospedagem web e de CAs sem fins lucrativos).
O próprio certificado SSL é um pequeno arquivo digital, geralmente de alguns kilobytes, que é instalado no servidor que suporta TLS e então compartilhado com outros. Este arquivo contém:
- O nome de domÃnio para o qual o certificado foi emitido
- A organização para a qual foi emitido (o titular do certificado)
- O nome da autoridade certificadora que o emitiu
- A assinatura digital da autoridade certificadora
- Quaisquer subdomÃnios associados
- A data de emissão e de expiração do certificado
- A chave pública (observação: a chave privada não é compartilhada)
Sempre que você usa um navegador para se conectar a uma URL que começa com âhttpsâ, ou vê um Ãcone de cadeado na barra de endereços do navegador, você sabe que ele tem uma conexão TLS segura, verificada por um certificado SSL e emitido por uma CA. Clicar no Ãcone do cadeado irá exibir informações adicionais sobre o certificado SSL, o proprietário do domÃnio e a conexão.
Embora esse cadeado indique que sua conexão com o site é segura, isso não significa necessariamente que o site em si seja seguro. Ou seja, apenas porque você pode se conectar de forma segura a um site não significa que ele não seja administrado por pessoas mal-intencionadas.
Como funciona um certificado SSL?
Um certificado SSL utiliza algoritmos de criptografia para "embaralhar" dados durante a transmissão. Isso garante que qualquer dado transferido entre um navegador e um site permaneça ilegÃvel para terceiros.
A comunicação segura via TLS depende de dois certificados â um público e um privado â para criar a conexão segura.
Quando um navegador tenta se conectar a um site protegido com TLS, essa comunicação é estabelecida na forma de um "aperto de mão", ou seja, uma comunicação de ida e volta que leva apenas alguns milissegundos. As etapas dessa interação são:
- O cliente (navegador) conecta-se ao site protegido por SSL (servidor).
- O cliente solicita que o servidor se identifique.
- O servidor envia uma cópia de seu certificado SSL.
- O cliente examina o certificado SSL quanto à confiabilidade e sinaliza ao servidor se ele é aceitável.
- O servidor inicia um acordo, assinado digitalmente, para começar uma sessão criptografada por SSL.
- Dados criptografados agora fluem livremente e com segurança entre o navegador e o servidor.
O "aperto de mão" inicial acontece usando criptografia assimétrica, ou seja, baseada em chaves públicas e privadas. Após a validação, o cliente e o servidor trocam chaves privadas temporárias, usadas apenas para a sessão. Como resultado, permite-se uma criptografia e descriptografia mais eficiente.
Tipos de certificados SSL
- Certificado validado por domÃnio (DV)
- Certificado validado por organização (OV)
- Certificado de validação estendida (EV)
Para aproveitar ao máximo os benefÃcios do SSL, é recomendável escolher o certificado SSL correto. Cada tipo de certificado SSL serve a propósitos diferentes e possui custos diferentes.
1. Certificado validado por domÃnio (DV)
Custo: R$ 0 a R$ 300 por ano
Um certificado SSL DV consiste numa verificação de identidade simples e automatizada, apenas comprovando que o proprietário tem controle sobre o domÃnio ou subdomÃnio. O processo geralmente é realizado por e-mail.
Um certificado SSL DV é a maneira mais acessÃvel de obter um certificado, com a maioria dos certificados SSL gratuitos sendo deste tipo. No entanto, ele representa o padrão mais baixo de segurança do site. Os certificados DV são úteis para blogs, sites individuais, pequenas empresas ou qualquer site com necessidades básicas de segurança.
2. Certificado validado por organização (OV)
Custo: R$ 500 a R$ 5.000 por ano
O certificado SSL OV oferece uma garantia mais forte da identidade do portador. Além disso, para obter um certificado OV, o comprador deve passar por nove verificações de validação.
Este é um certificado empresarial de nÃvel intermediário, e a CA emissora garante que a organização afiliada ao certificado é válida e está em boa situação. Esta é uma boa opção para empresas que não realizam transações financeiras ou não operam um e-commerce através do seu site.
Certificado de validação estendida (EV)
Custo: mais de R$ 5.000 por ano
Um certificado SSL EV representa o nÃvel mais alto de verificação de identidade, mais adequado para corporações, instituições financeiras e sites de e-commerce. Aqui, dezesseis verificações de validação estão envolvidas, incluindo a identidade jurÃdica e a localização fÃsica.
O usuário final vê uma barra de navegador verde, indicando o mais alto nÃvel de verificação, além de informações corporativas adicionais por trás do cadeado.
E se você precisar proteger vários domÃnios?
Um único certificado SSL garante a segurança de apenas um nome de domÃnio. No entanto, muitas empresas precisam de uma solução que proteja vários nomes de domÃnio ou subdomÃnios. Para esses casos, o protocolo SSL oferece duas soluções diferentes: um certificado SSL Wildcard ou um certificado SSL de múltiplos domÃnios.
Certificado SSL Wildcard
Custo: varia
Algumas empresas utilizam vários subdomÃnios (por exemplo, blog.exemplo.com, shop.exemplo.com) para desempenhar diferentes funções no mesmo site. Para essas organizações, a melhor solução SSL é geralmente um certificado SSL wildcard. Um certificado SSL wildcard protege o domÃnio principal do site e quaisquer subdomÃnios associados, reduzindo custos e simplificando a administração.
Certificado SSL de múltiplos domÃnios
Custo: varia
Enquanto os certificados SSL wildcard ajudam um proprietário de site a proteger subdomÃnios dentro de um único domÃnio principal, os certificados SSL de múltiplos domÃnios (MDC) podem ser usados para proteger vários nomes de domÃnio simultaneamente. DomÃnios adicionais podem ser incluÃdos em um certificado de múltiplos domÃnios através de "nomes alternativos do assunto" (SANs â Subject Alternative Names), sem precisar adquirir um certificado SSL de domÃnio a mais. Certificados SSL de múltiplos domÃnios muitas vezes são conhecidos como certificados de comunicações unificadas (UCC).
Como obter um certificado SSL
O processo para obter certificados SSL, seja de domÃnio único ou de múltiplos, e de garantir a segurança dos dados dos usuários em seu site pode ser algo complexo. Veja abaixo as etapas de como prosseguir:
- Determine o nÃvel de segurança necessário para o seu site. Escolha entre certificados SSL DV, OV ou EV. (Se você tem vários domÃnios ou subdomÃnios, talvez precise adicionar um certificado wildcard ou MDC.) Avalie novamente as necessidades e o orçamento da sua empresa e escolha o nÃvel de verificação de identidade apropriado.
- Determine os domÃnios e subdomÃnios que terão o certificado. Se você tiver apenas um, talvez não precise obter um certificado wildcard.
- Escolha uma autoridade certificadora/fornecedor. Para as necessidades mais básicas, seu provedor de hospedagem web talvez possa te ajudar a obter um certificado gratuito. Certificados de múltiplos domÃnios e EV irão exigir que você desembolse algum valor para uma autoridade certificadora, por isso, lembre de pesquisar e cotar as opções disponÃveis.
- Solicite um certificado ao provedor SSL que você escolheu. Isso geralmente consiste em preencher formulários na web e realizar pagamentos.
- Verifique a propriedade e outros detalhes. A CA seguirá com a verificação das informações que você enviou em sua solicitação, exigindo, no mÃnimo, a verificação de propriedade do domÃnio por e-mail.
- Obtenha e instale o certificado. Este passo depende da CA que você escolheu e da sua plataforma web. Geralmente, você baixa um arquivo ZIP contendo três chaves: a chave pública, a chave privada e um pacote da autoridade certificadora. Se você opera o seu site através de um provedor de hospedagem comercial, o painel de administração do seu site geralmente incluirá as ferramentas para a instalação do certificado. Se você está hospedando do seu próprio hardware, mais próximo ao sistema operacional e servidor web, então siga a documentação para essa situação.
- Configure outros aplicativos para usar o certificado. Se você pretende utilizar as conexões SSL para outros aplicativos em seus servidores (por exemplo, WordPress, e-mail, etc.), você precisará configurá-los para usar seu certificado e o protocolo TLS.
- Confirme que sua conexão segura está funcionando. Conecte-se ao seu site e/ou outros aplicativos e certifique de que você tem uma conexão segura. Clique no cadeado e revise as informações exibidas no seu navegador.
- Envie o(s) seu(s) site(s) aos motores de busca. Seus novos sites "https" são diferentes dos seus antigos sites "http". Dito isso, se seus usuários dependem dos mecanismos de busca para encontrá-lo, você precisará reenviar seu novo endereço web https para indexação.
Perguntas frequentes sobre certificado SSL
O certificado SSL é necessário?
O certificado SSL é necessário para qualquer site no qual os usuários precisam inserir informações pessoais. Mesmo que seu site não gerencie dados confidenciais, os certificados SSL são altamente recomendados: os mecanismos de busca penalizam sites sem eles, e os navegadores alertam os usuários sobre sites inseguros, o que resulta em perda de tráfego.
Como eu consigo um certificado SSL?
Qual é a diferença entre SSL e TLS?
O Transport Layer Security (TLS) é o sucessor do SSL. Embora o TLS ofereça algumas melhorias em relação ao SSL, os termos são geralmente usados para representar a mesma coisa. Ambos os protocolos funcionam da mesma maneira, usando criptografia para garantir a transferência segura de dados entre remetente e destinatário.
Quais tipos de certificados SSL existem?
- Certificado validado por domÃnio (DV)
- Certificado validado por organização (OV)
- Certificado de validação estendida (EV)
- Certificado SSL Wildcard
- Certificado SSL de múltiplos domÃnios (MDC)