Pular para o conteúdo principal

Quando você imagina a transação comercial média, o que você vê? A fila do caixa em sua mercearia local? Ou talvez a barraca de limonada no final da rua?

Muito provavelmente, você não está pensando em um site. E, no entanto, mais transações estão acontecendo digitalmente do que nunca. De fato, as vendas globais de comércio eletrônico estão próximas de ultrapassar US$ 8 trilhões até 2027 - um aumento de 42% em relação a 2023.

O problema é o seguinte: As transações on-line costumam envolver informações confidenciais que trafegam por dispositivos e redes potencialmente inseguros. Por sua vez, as interações digitais devem ser mantidas privadas e seguras. Por sorte, é exatamente para isso que os certificados digitais e o Secure Sockets Layer (SSL) foram criados.

Não está familiarizado? Não se preocupe - estamos aqui para colocar você a par das novidades. Continue lendo para saber mais sobre a segurança SSL, a importância da criptografia e como escolher o certificado digital certo para sua organização.

O que é SSL?

SSL significa Secure Sockets Layer, um protocolo de segurança da Internet que autentica a identidade de um site e cria uma conexão criptografada. O protocolo SSL é uma tecnologia essencial para garantir uma conexão segura e proteger os dados confidenciais enviados entre entidades, como um site, um navegador ou um servidor da web.

A Netscape desenvolveu a iteração original do Secure Socket Layer em 1995. Naquela época, os dados da web só podiam ser transmitidos em texto simples, o que significava que qualquer pessoa poderia interceptar e ler a mensagem. Pior ainda, eles poderiam roubar qualquer informação pessoal que a mensagem contivesse.

O protocolo SSL 1.0 nunca foi liberado para o público devido a várias falhas de segurança que o tornaram vulnerável. Finalmente, duas versões depois, o SSL 3.0 fez sua estreia pública, permitindo a comunicação segura pela internet, pelo menos temporariamente.

O que é Transport Layer Security (TLS)?

Para todos os efeitos, o Transport Layer Security é o sucessor moderno do protocolo de segurança SSL original. No entanto, muitas pessoas ainda usam o nome "SSL" quando, na verdade, querem dizer TLS. Hoje em dia, você pode até ver uma combinação dos acrônimos: Criptografia SSL/TLS.

Dito isto, eles não são necessariamente intercambiáveis, pois há uma diferença notável.

Em termos simples, a criptografia TLS é mais segura que sua antecessora. Houve diversas versões de segurança SSL ao longo dos anos, cada uma com vulnerabilidades que seriam reveladas posteriormente. É por isso que o SSL não é atualizado desde 1996 e agora é considerado “obsoleto”.

Portanto, o TLS é o protocolo de segurança padrão no mercado atual, mesmo que ainda seja comumente chamado de “SSL”. Transport Layer Security 1.3 – a iteração mais recente – corrige muitos dos pontos fracos nas versões anteriores, tornando-a a conexão mais segura e protegida disponível. Na verdade, o National Institute of Standards in Technology (NIST) exige que todos os servidores TLS e clientes do governo ofereçam suporte ao TLS 1.2 e recomenda que os órgãos planejem adotar o TLS 1.3 em 2024.

O que são certificados digitais?

Um certificado digital é um documento eletrônico que comprova a autenticidade de um dispositivo, servidor da web, usuário ou outra entidade por meio de criptografia e infraestrutura de chave pública (PKI). Os certificados digitais são ferramentas valiosas para ajudar as organizações a garantir que somente entidades confiáveis acessem suas redes.

Como explicaremos, eles também são comumente usados para confirmar a autenticidade de um site para um navegador da web, permitindo que o SSL estabeleça uma conexão criptografada. Esse tipo específico de certificado é conhecido como "certificado SSL" ou "certificado TLS", mas falaremos mais sobre isso posteriormente.

Por que SSL e TLS são importantes?

Como proprietário de um site, os certificados SSL e TLS são necessários para proteger sua organização, seus clientes e seus funcionários contra os vetores de ameaças cada vez mais ousados que desafiam a segurança cibernética moderna. Os sites e servidores que não possuem criptografia são suscetíveis a ataques. Isso significa que um tesouro de dados confidenciais pode estar em risco.

De fato, a propriedade de um domínio de site não deve ser considerada levianamente. Há vários motivos para implementar um certificado SSL ou TLS:

  • Segurança de dados: A segurança SSL garante que informações confidenciais não possam ser acessadas por usuários não autorizados – apenas pelos destinatários pretendidos. Isso é ainda mais importante para proteger credenciais de login, dados financeiros, informações pessoais e outros alvos de alto valor.
  • Resistência a phishing: Os certificados digitais também evitam determinados tipos de ataques cibernéticos, como o phishing. Os hackers geralmente tentam enganar as vítimas desavisadas para que insiram seus dados confidenciais em um site falsificado, acreditando que ele seja real. No entanto, um certificado TLS pode autenticar o servidor da web, alertando os usuários se o domínio é legítimo ou não.
  • Segurança de identidade: A segurança SSL criptografa nomes de usuário, senhas e formulários usados para enviar informações pessoais, criando assim experiências mais seguras para seus clientes.
  • Retenção de clientes e conversão: Os clientes em potencial que visitam seu site têm maior probabilidade de concluir uma compra se souberem que o processo de finalização da compra está protegido por uma conexão segura. A segurança SSL pode evitar o constrangimento de uma violação de dados, que é conhecida por afastar pelo menos 83% dos consumidores.
  • Classificações nos mecanismos de pesquisa: Na verdade, o Google pune os sites sem certificados SSL marcando-os como não seguros, o que pode afetar negativamente as classificações de otimização de mecanismos de pesquisa (SEO) e a visibilidade do site.
  • Conformidade: Os requisitos cada vez maiores estão pressionando as empresas a levar a sério a comunicação segura. Por exemplo, o Regulamento Geral de Proteção de Dados (GDPR) da Europa implementa padrões rígidos de criptografia. As empresas que violarem as regras do GDPR estão sujeitas a multas de € 20 milhões ou 4% da receita anual mundial da empresa no ano fiscal anterior, o que for maior.

Como funciona o SSL?

como funciona o SSL?

Está claro que a criptografia SSL é importante, mas como ela funciona? Vamos nos aprofundar e explicar com mais detalhes.

De modo geral, o processo é o seguinte:

  1. Um navegador ou servidor tenta se conectar a um site (ou seja, um servidor da web) protegido por SSL. O cliente web envia uma mensagem ao servidor para iniciar o processo.
  2. Em resposta, o site envia de volta uma cópia do seu certificado SSL conhecido como chave pública.
  3. O navegador/servidor verifica se confia ou não no certificado SSL. Em caso afirmativo, ele cria e envia uma chave privada criptografada de volta para o site.
  4. O servidor da web recebe e descriptografa a chave privada. Em seguida, ele cria uma conexão criptografada e entrega o conteúdo de volta ao cliente.
  5. Por fim, o cliente descriptografa o conteúdo e pode iniciar a sessão com segurança.

Esse processo é geralmente chamado de “handshake SSL”. Por quê? Porque é basicamente um acordo entre os dois lados, estabelecendo confiança entre eles. Superficialmente, pode parecer um processo demorado, mas na verdade acontece em milissegundos. Na verdade, praticamente não tem impacto na experiência do usuário final.

Vale destacar que o SSL só pode ser adicionado por sites que possuem um certificado SSL ou TLS. Esses certificados funcionam como um crachá que autentica e verifica o proprietário do site. Um aspecto importante do certificado TLS é a chave pública do site – um mecanismo que torna possível a criptografia.

Os dispositivos visualizam a chave pública e a utilizam para criar chaves de criptografia seguras com o servidor da web. Ao mesmo tempo, o servidor da web possui uma chave privada que é sempre mantida em segredo, pois é ela que serve para descriptografar os dados criptografados pela chave pública.

São muitas chaves. Então, para resumir tudo, vamos dar uma olhada nas definições novamente:

  • Handshake SSL: Uma negociação entre duas partes (normalmente um navegador/servidor e um servidor da web) que estabelece uma conexão segura.
  • Chave pública: Uma chave criptográfica usada para criptografar mensagens destinadas a um destinatário específico, decifrável somente com o uso de uma segunda ferramenta, ou seja, a chave privada.
  • Chave privada: Também conhecida como chave secreta, ela é usada para criptografar e descriptografar dados, iniciando assim uma sessão segura.

Tipos de certificados SSL e TLS

Os certificados digitais podem ser divididos por tipo e nível de validação. Vamos examinar primeiro os três principais tipos de certificados SSL e TLS:

  1. Domínio único: Como o nome indica, um certificado SSL de domínio único se aplica a apenas um site. Ele não pode ser usado para autenticar nenhum outro domínio, inclusive subdomínios do site para o qual foi emitido
  2. Wildcard: Da mesma forma, um certificado wildcard se aplica a apenas um domínio, mas também pode incluir seus subdomínios. Portanto, você pode usá-lo para proteger informações confidenciais e autenticar tudo sob o domínio abrangente.
  3. Multidomínio: Por outro lado, um SSL multidomínio pode listar vários domínios não relacionados em uma certificação SSL.

Os certificados digitais também vêm com diferentes níveis de validação, que são usados por uma Certificate Authority (CA) para comprovar a propriedade do domínio. Eles existem em um espectro que vai desde a validação mínima até verificações rigorosas de antecedentes. Vamos dar uma olhada em cada um deles com mais detalhes:

Validação estendida (Certificado SSL EV)

A maioria dos usuários on-line prefere um certificado SSL EV porque ele vem com a verificação mais abrangente, que inclui verificação de domínio, bem como verificações comparativas que vinculam a entidade a um local físico específico.

Esse tipo de verificação deixa um registro detalhado, fornecendo aos clientes um recurso caso ocorra fraude durante a transação naquele site.

Validação da organização (Certificado SSL OV)

Os domínios que obtêm um certificado OV são submetidos a um processo um pouco menos rigoroso. A CA entra em contato com a pessoa ou empresa que solicita o certificado, mas não faz uma verificação completa do histórico do solicitante.

Além da propriedade do domínio, a empresa é validada e os detalhes do certificado podem ser visualizados na maioria dos principais navegadores da web, dando aos usuários a oportunidade de determinar se o site em que estão é legítimo ou não.

Validação de domínio (Certificado SSL DV)

Um site protegido por um certificado DV contém apenas um cadeado trancado na barra de endereço, mas não mostra detalhes da organização porque eles não existem. Esses certificados validam apenas a propriedade do domínio, podem ser adquiridos anonimamente e não vinculam um domínio a uma pessoa, lugar ou entidade.

Como escolher e obter um certificado SSL

Os certificados digitais existem em todos os formatos e tamanhos, oferecendo vários níveis de proteção e garantia. É importante selecionar o certificado SSL/TLS ideal para as necessidades da sua empresa, ou você poderá correr o risco de aumentar a exposição a possíveis ataques e violações de conformidade.

Em primeiro lugar, considere o nível de validação exigido de sua organização. Seu setor tem padrões rígidos de proteção de dados e criptografia? Que tipo de garantia seus clientes-alvo estão procurando? Que tipo de informações pessoais são coletadas? Essas perguntas devem ajudar você a encontrar o caminho certo.

Em seguida, você deverá selecionar o tipo de certificado necessário para suas finalidades específicas. Pergunte a si mesmo: Qual é o seu principal uso? Você tem uma solicitação de servidor da web padrão ou um cluster de servidores Exchange para atender? Você precisará de um certificado para vários domínios?

Ainda não tem certeza? Experimente nossa ferramenta de seleção de certificados SSL para obter mais orientações.

Aquisição de seu certificado

Depois de restringir suas opções, você terá que enviar uma Solicitação de assinatura de certificado (CSR) a uma Certificate Authority autorizada, como a Entrust.

Além disso, é necessária a permissão do proprietário do domínio para cada domínio incluído em um certificado. A CA não poderá processar solicitações de certificado se o nome de domínio não estiver registrado na empresa solicitante, em sua matriz ou em uma de suas subsidiárias. Você terá que fornecer um número de telefone comercial e as informações de contato de um líder sênior. No total, você precisará de:

  • Informações de pagamento válidas
  • Informações de contato de autorização
  • Informações de contato técnico
  • Informações de contato de cobrança
  • A CSR preenchida
  • Uma lista de todos os domínios

Na Entrust, fornecemos acesso flexível e conveniente a uma ampla gama de certificados SSL/TLS, permitindo que você faça a melhor escolha para sua organização.

Perguntas frequentes sobre SSL

O SSL é mais seguro do que o HTTP?

A resposta curta é sim. HTTP é a sigla de Hypertext Transfer Protocol (Protocolo de transferência de hipertexto). Combinados com o SSL, esses protocolos criam o HTTPS, uma forma segura de HTTP em que as conexões são criptografadas com segurança. Os navegadores modernos não recomendam conexões HTTP não seguras, pois não usam criptografia para garantir a segurança.

Qual é a diferença entre criptografia simétrica e assimétrica?

A criptografia simétrica usa a mesma chave criptográfica para criptografia e descriptografia. Por outro lado, a criptografia assimétrica usa uma chave pública e uma privada, razão pela qual é considerada a opção mais segura e é usada pela maioria dos certificados digitais.

Um certificado SSL pode ser usado em vários servidores?

Os certificados SSL podem ser usados em vários servidores se o fornecedor emissor permitir. Isso é possível graças ao poder dos certificados multidomínios.

Entrust: Sua fonte preferida de criptografia SSL

A Entrust é membro fundador do Conselho de segurança de Certificate Authorities (CA) e do Fórum da CA/navegador. Nossos especialistas em segurança digital contribuem ativamente para o desenvolvimento de padrões do setor para TLS/SSL, assinatura de documentos, certificados de assinatura de código e gerenciamento de certificados.

Mais do que apenas liderança, oferecemos um portfólio robusto e confiável de certificados digitais para uma ampla gama de requisitos empresariais. Com a premiada plataforma de certificados da Entrust, você ganha:

  • Suporte premiado
  • Compatibilidade universal de navegadores
  • Reemissões Ilimitadas
  • Licenças de servidor ilimitadas
  • Criptografia de 128 a 256 bits
  • Todos os certificados da Entrust estão em conformidade com a infraestrutura de chave pública internacional x.509 amplamente aceita (PKI).

Saiba mais sobre os recursos de criptografia SSL da Entrust e baixe nosso eBook hoje mesmo.