O que é uma autoridade de certificação?

Seja para confiança pública ou privada, as autoridades de certificação são uma peça crítica no ecossistema de cibersegurança mais ampla. Você não está familiarizado com o que são ou como funcionam? Sem problemas.

Aqui está tudo o que você precisa saber sobre autoridades de certificação, incluindo como escolher a melhor para suas necessidades de negócios.

Uma autoridade certificadora (CA), às vezes chamada de autoridade de certificação, é uma entidade que valida a identidade digital de sites, endereços de e-mail, empresas ou pessoas físicas. Eles fazem isso usando ativos criptográficos chamados certificados digitais, que fornecem uma forma de comprovar a autenticidade.

Por exemplo, os navegadores da Web trabalham com CAs para autenticar sites, garantindo que não sejam operados por hackers ou malfeitores. Se as autoridades de certificação não existissem, não seria seguro fazer compras, transações bancárias ou transmitir informações confidenciais pela internet. O “s” no prefixo “https” significa seguro, então você sabe que o proprietário do site foi verificado por uma CA confiável.

CA pública vs. CA privada: Qual é a diferença?

As autoridades certificadoras são públicas ou privadas. Embora desempenhem funções semelhantes, existem diferenças importantes entre as duas categorias:

• CA pública: Este grupo inclui entidades que prestam serviços ao público em geral. Seus certificados são aceitos globalmente, o que os torna adequados para proteger sites, transações on-line e outros casos de uso digital. Há um número finito de CAs públicas disponíveis, mas elas têm profundas raízes de confiança nos principais provedores de navegadores da web.
• CA privada: Esta categoria inclui autoridades certificadoras específicas para uso interno de uma empresa. Em outras palavras, eles emitem certificados exclusivamente para fins e casos de uso internos, como redes privadas e VPNs, autenticação de usuários e assinatura de código. Por extensão, uma CA privada só é “confiável” pelos usuários dentro dessa organização e raramente emite certificados para entidades externas. Por esse motivo, também é comumente referido como “CA local”.

Por que as autoridades certificadoras são consideradas confiáveis?

Uma CA pública é uma entidade rigorosamente examinada que deve atender aos requisitos fundamentais estabelecidos pelo Fórum de CA/navegador. As autoridades certificadoras e os navegadores da Internet trabalham em conjunto para desenvolver padrões mais rigorosos e uniformes para a gestão e emissão de vários certificados digitais.

Devido a esses requisitos básicos, as CAs públicas são reconhecidas e aceitas globalmente para a maioria das aplicações. No entanto, eles não podem oferecer suporte a casos de uso internos, que é onde entra em ação uma CA privada. Cada CA privada tem uma política que determina para que serve e os processos e controles que usa para emitir certificados. Por sua vez, eles são considerados confiáveis e de alta segurança.

Simplificando, os certificados digitais são uma forma de provar a autenticidade de um dispositivo, servidor da web, usuário ou entidade. Eles têm uma finalidade semelhante a uma carteira de motorista ou passaporte, fornecendo uma forma de identificação e verificando determinadas licenças. Contudo, em vez da permissão para conduzir ou entrar num país, os certificados digitais cumprem três funções principais:

1. Autenticação: Os certificados atuam como uma credencial que valida a identidade de qualquer entidade para a qual foram emitidos, como um domínio da web ou uma organização.
2. Criptografia: Eles protegem a comunicação pela internet criptografando informações enviadas online, como nomes de usuário e senhas ou e-mails.
3. Assinatura: Os certificados garantem que os documentos assinados digitalmente não sejam alterados por terceiros, mantendo assim a sua integridade.

Tudo isso é possível graças à infraestrutura de chave pública (PKI). Resumindo, a PKI abrange todo o hardware, software, procedimentos e políticas necessários para gerar e armazenar chaves criptográficas – os ativos que tornam possível a criptografia, descriptografia e verificação.

Como funciona a infraestrutura de chave pública?

Na PKI, todos os certificados digitais estão conectados a um determinado par de chaves: uma chave pública e uma chave privada. Cada um desses ativos criptográficos é uma longa sequência de bits usados para criptografar e descriptografar dados. Cada certificado é exclusivo para uma pessoa ou entidade específica, funcionando como um passaporte para identificação.

A chave pública está disponível gratuitamente a quem a solicitar, permitindo-lhe encriptar informação sensível antes de a enviar à entidade associada. No entanto, essa mensagem só pode ser descriptografada com a chave privada, conhecida apenas pelo proprietário da chave pública.

Mas como saber se o remetente de uma chave pública é quem afirma ser? Resumindo, é aí que os certificados entram em jogo. Eles não contêm apenas a chave pública, mas também informações relacionadas ao seu proprietário, à CA emissora, aos dados sobre os quais foi criada e quando irá expirar. Isso ajuda a verificar se a chave realmente pertence à entidade reivindicada, e não a um malfeitor.

O que é o gerenciamento de certificados?

O gerenciamento de certificados é o processo de gerenciamento de certificados digitais durante todo o seu ciclo de vida — desde o provisionamento até a renovação e a revogação. No entanto, para organizações que têm um número crescente de certificados o gerenciamento de certificados pode ser um desafio.

Com o aumento do uso de certificados digitais, os processos de gerenciamento manual (como planilhas) não são sustentáveis. Muitas empresas estão recorrendo a ferramentas de gerenciamento de ciclo de vida que não apenas fornecem visibilidade completa de seus inventários criptográficos e patrimônio de certificados, mas também fornecem uma camada de automação muito necessária.

Os certificados digitais, como base para a privacidade e a proteção, são essenciais para a proteção das interações on-line. A maioria das autoridades de certificação oferece uma variedade de tipos de certificados para diversos casos de uso, níveis de garantia, requisitos de conformidade e outras aplicações. Isso inclui:

Certificados de assinatura de documentos

Como o nome indica, um certificado de assinatura de documento é usado para assinar registros eletrônicos. Mais importante ainda, garantem a integridade do documento, verificando se o conteúdo não foi adulterado e verificam a identidade do signatário. Eles são especialmente úteis para contratos legais, pois podem ajudar as organizações a apoiar o não repúdio.

Certificados de assinatura de código

Da mesma forma, um certificado de assinatura de código permite que os desenvolvedores de software assinem digitalmente aplicativos e programas. Isso garante que os usuários finais possam verificar se o código recebido não foi alterado ou manipulado, protegendo ambas as partes contra fraude, malware e roubo.

Certificados TLS/SSL

Talvez os dois tipos mais comuns de certificados digitais sejam os certificados TLS e SSL. TLS significa “Transport Layer Security”, enquanto SSL significa “Secure Sockets Layer”. Ambos são protocolos de segurança da internet que autenticam a identidade e estabelecem conexões criptografadas do navegador.

Tecnicamente, o certificado SSL está desatualizado e a criptografia TLS tomou seu lugar. No entanto, o nome “SSL” ainda é comumente usado em referência à Transport Layer Security. É por isso que, na maioria das vezes, você vê uma combinação das duas siglas: TLS/SSL.

Este tipo de certificado é normalmente usado para autenticação de sites, clientes e servidores. Abaixo desta ampla categoria, existem vários tipos específicos de certificados TLS/SSL, incluindo:

• Certificados de Validação estendida (EV): Os certificados SSL EV fornecem a mais alta segurança de garantia, e o processo de verificação é o mais rigoroso. Quando implantado em um site, um ícone de cadeado, o nome da organização e a designação “S” após HTTP ficam visíveis para os visitantes. Esse tipo de certificado geralmente é usado para aplicativos da Web que exigem garantia de identificação para coletar dados, processar logins ou realizar pagamentos on-line.
• Certificados de validação da organização (OV) Os certificados SSL OV fornecem segurança e criptografia de identidade e são mais adequados para criptografar informações do usuário durante transações. A maioria dos sites voltados para o consumidor são obrigados por lei a implantar certificados SSL de OV para garantir que as informações comunicadas durante uma sessão permaneçam confidenciais.
• Certificados de validação de domínio (DV): Os certificados SSL têm menos requisitos de verificação de identidade do que os certificados de EV ou de OV, constituindo apenas o controle de domínio. Geralmente são usados por aplicativos de baixo risco, como blogs, comunidades de usuários ou sites informativos. Isso torna os certificados de DV mais baratos e fáceis de obter.
• Certificados Wildcard SSL: Os certificados Wildcard SSL são verificados no nível de validação da organização e é uma solução econômica para proteger um domínio base e qualquer número de subdomínios afiliados. Além de terem custos menores do que a compra de vários certificados individuais, oferecem maior simplicidade porque os usuários não precisam enviar várias solicitações de assinatura de certificado ou gerenciar as datas de expiração de vários certificados TLS/SSL em várias URLs.
• Certificados SSL de comunicações unificadas (UC): Eles são verificados nos níveis de validação estendida ou de validação da organização. Uma maneira eficiente de consolidar vários certificados é aproveitar os Nomes alternativos de assunto (SANs) para economia de custos. Os certificados SSL de UC estabelecem identidades confiáveis​ e eliminam as notificações do navegador que avisam a entrada no seu site aos visitantes.

Ter certificados TLS/SSL confiáveis de uma autoridade de certificação respeitável é extremamente importante por vários motivos:

• Aumento dos requisitos de conformidade: O Regulamento geral de proteção de dados (RGPD) implementado na Europa está sendo adotado em todo o mundo. As organizações que violam os padrões do RGPD enfrentam multas pesadas ou perda de receita.
• Perda de visibilidade do mecanismo de pesquisa: Os mecanismos de pesquisa estão reprimindo sites que representam ameaças à segurança, implantando indicadores de segurança negativos e removendo sites dos resultados dos mecanismos de pesquisa.
• Maior segurança de dados: É fundamental proteger senhas, números de cartão de crédito, transações financeiras e outros dados de alto valor.
• Ênfase na identificação confiável: A autoridade certificadora verifica a identidade das organizações, confirma que a empresa tem controle sobre seus domínios e garante que o solicitante do certificado seja empregado da entidade associada.

O processo começa quando um requerente gera um par de ativos criptográficos – a chave pública e a chave privada – juntamente com uma solicitação de assinatura de certificado (CSR). Resumindo, um CSR é um arquivo codificado que inclui a chave pública e outras informações pertinentes a serem incluídas no certificado.

Isso pode incluir o nome de domínio, a organização e as informações de contato correspondentes, mas, em última análise, irá variar dependendo do nível de validação e do caso de uso pretendido. A chave privada, entretanto, é sempre mantida em segredo e nunca deve ser mostrada a ninguém, inclusive à CA.

Em seguida, o requerente envia a solicitação de assinatura do certificado à CA emissora. A organização emissora da CA verificará então de forma independente se as informações contidas no CSR estão corretas. Nesse caso, ele assinará digitalmente o certificado com sua própria chave privada e o enviará de volta, adicionando uma camada de confiança ao processo.

Por fim, o certificado digital pode ser autenticado utilizando a chave pública, como quando alguém visita o site do requerente através de um navegador da web. Além disso, os navegadores confirmam que o conteúdo do certificado não foi alterado ou adulterado desde que foi assinado pela CA emissora.

A cadeia de confiança é uma hierarquia que os certificados usam para verificar a validade da CA emissora. Neste modelo, os certificados são emitidos e assinados por outros certificados que existem em níveis superiores na cadeia. Isso permite que qualquer pessoa que queira verificar a autenticidade de um certificado possa rastreá-lo até o original da CA, conhecido como “certificado raiz."

No geral, esse processo é a soma de três partes:

1. Uma âncora de confiança é a CA de origem. Seu certificado raiz normalmente é pré-baixado na maioria dos navegadores em um “armazenamento confiável”.
2. Pelo menos um certificado intermediário que se ramifica dos certificados raiz como uma árvore. Eles fornecem um buffer entre a autoridade de certificação confiável e a entidade final.
3. O certificado de entidade final valida a identidade de um site, empresa ou pessoa. A cadeia de confiança garante que as CAs cumpram os padrões de conformidade, especialmente aqueles relacionados à segurança, privacidade e escalabilidade.

Nem todas as CAs são projetadas ou capazes de proteger o caso de uso específico da sua organização. Alguns não funcionarão com sua infraestrutura de TI, mas outros podem não ter os serviços que você procura. Aqui estão algumas considerações importantes que você deve ter em mente ao selecionar uma autoridade de certificação:

• A CA protege adequadamente sua marca?
• A CA segue as práticas recomendadas do Fórum do navegador da Certificate Authority?
• A CA oferece políticas flexíveis de licenciamento e preços?
• A CA pode crescer junto com a sua organização para atender às suas necessidades atuais e futuras?
• A CA participa ativamente no Conselho de Segurança da CA?

Confie-nos os seus certificados digitais

Há uma razão pela qual inúmeras organizações recorrem à Entrust para atender às suas necessidades de certificados públicos e privados. Como autoridade certificadora reconhecida mundialmente, temos décadas de experiência na emissão e gestão de certificados. Além disso, oferecemos um painel único para você gerenciar certificados públicos e privados — incluindo aqueles emitidos por outras CAs. 

E, como membro fundador do Conselho de Segurança da CA e do Fórum de CA/navegador, estamos sempre a frente dos padrões do setor. Com um amplo portfólio de certificados e soluções digitais, você tem acesso a uma lista crescente de produtos e serviços inovadores.

Com a premiada plataforma de certificados da Entrust, você ganha:

• Suporte incomparável
• Compatibilidade universal de navegadores
• Reemissões Ilimitadas
• Licenciamento de servidor ilimitado com criptografia de 128 a 256 bits