O que é SSL?

Quando você imagina a transação comercial média, o que você vê? A fila do caixa em sua mercearia local? Ou talvez a barraca de limonada no final da rua?

Muito provavelmente, você não está pensando em um site. E, no entanto, mais transações estão acontecendo digitalmente do que nunca. A realidade é que as vendas globais de comércio eletrônico estão próximas de ultrapassar US$ 8 trilhões até 2027 - um aumento de 42% em relação a 2023.

O problema é o seguinte: As transações on-line costumam envolver informações confidenciais que trafegam por dispositivos e redes potencialmente inseguros. Por sua vez, as interações digitais devem ser mantidas privadas e seguras. Por sorte, é exatamente para isso que os certificados digitais e o Secure Sockets Layer (SSL) foram criados.

Não está familiarizado? Não se preocupe - estamos aqui para colocar você a par das novidades. Continue lendo para saber mais sobre a segurança SSL, a importância da criptografia e como escolher o certificado digital certo para sua organização.

O que é Transport Layer Security (TLS)?

Para todos os efeitos, o Transport Layer Security é o sucessor moderno do protocolo de segurança SSL original. No entanto, muitas pessoas ainda usam o nome "SSL" quando, na verdade, querem dizer TLS. Hoje em dia, você pode até ver uma combinação dos acrônimos: Criptografia SSL/TLS.

Dito isto, eles não são necessariamente intercambiáveis, pois há uma diferença notável.

Em termos simples, a criptografia TLS é mais segura que sua antecessora. Houve diversas versões de segurança SSL ao longo dos anos, cada uma com vulnerabilidades que seriam reveladas posteriormente. É por isso que o SSL não é atualizado desde 1996 e agora é considerado “obsoleto”.

Portanto, o TLS é o protocolo de segurança padrão no mercado atual, mesmo que ainda seja comumente chamado de “SSL”. Transport Layer Security 1.3 – a iteração mais recente – corrige muitos dos pontos fracos nas versões anteriores, tornando-a a conexão mais segura e protegida disponível. Na verdade, o Nacional Institute of Standards in Technology (NIST) exige que todos os servidores e clientes do TLS do governo ofereçam suporte ao TLS 1.2 e recomenda que agências adotem o TLS 1.3 em 2024.

O que são certificados digitais?

Um certificado digital é um documento eletrônico que comprova a autenticidade de um dispositivo, servidor da web, usuário ou outra entidade por meio de criptografia e infraestrutura de chave pública (PKI). Os certificados digitais são ferramentas valiosas para ajudar as organizações a garantir que somente entidades confiáveis acessem suas redes.

Como explicaremos, eles também são comumente usados para confirmar a autenticidade de um site para um navegador da web, permitindo que o SSL estabeleça uma conexão criptografada. Esse tipo específico de certificado é conhecido como "certificado SSL" ou "certificado TLS", mas falaremos mais sobre isso posteriormente.

Como proprietário de um site, os certificados SSL e TLS são necessários para proteger sua organização, seus clientes e seus funcionários contra os vetores de ameaças cada vez mais ousados que desafiam a segurança cibernética moderna. Os sites e servidores que não possuem criptografia são suscetíveis a ataques. Isso significa que um tesouro de dados confidenciais pode estar em risco.

De fato, a propriedade de um domínio de site não deve ser considerada levianamente. Há vários motivos para implementar um certificado SSL ou TLS:

• Segurança de dados: A segurança SSL garante que informações confidenciais não possam ser acessadas por usuários não autorizados – apenas pelos destinatários pretendidos. Isso é ainda mais importante para proteger credenciais de login, dados financeiros, informações pessoais e outros alvos de alto valor.
• Resistência a phishing: Os certificados digitais também evitam determinados tipos de ataques cibernéticos, como o phishing. Os hackers geralmente tentam enganar as vítimas para que insiram seus dados confidenciais em um site falsificado, acreditando que ele seja real. No entanto, um certificado TLS pode autenticar o servidor da web, alertando os usuários se o domínio é legítimo ou não.
• Segurança de identidade: A segurança SSL criptografa nomes de usuário, senhas e formulários usados para enviar informações pessoais, criando assim experiências mais seguras para seus clientes.
• Retenção de clientes e conversão: Os clientes em potencial que visitam seu site têm maior probabilidade de concluir uma compra se souberem que o processo de finalização está protegido por uma conexão segura. A segurança SSL pode evitar o constrangimento de uma violação de dados, que é conhecida por afastar pelo menos 83% dos consumidores.
• Classificações nos mecanismos de pesquisa: Na verdade, o Google pune os sites sem certificados SSL marcando-os como não seguros, o que pode afetar negativamente as classificações de otimização de mecanismos de pesquisa (SEO) e a visibilidade do site.
• Conformidade: Os requisitos cada vez maiores estão pressionando as empresas a levar a sério a comunicação segura. Por exemplo, o Regulamento Geral de Proteção de Dados (GDPR) da Europa implementa padrões rígidos de criptografia. As empresas que violarem as regras do GDPR estão sujeitas amultas de € 20 milhões ou 4% da receita anual mundial da empresa no ano fiscal anterior.

Está claro que a criptografia SSL é importante, mas como ela funciona? Vamos nos aprofundar e explicar com mais detalhes.

De modo geral, o processo é o seguinte:

1. Um navegador ou servidor tenta se conectar a um site (ou seja, um servidor da web) protegido por SSL. O cliente web envia uma mensagem ao servidor para iniciar o processo.
2. Em resposta, o site envia de volta uma cópia do seu certificado SSL conhecido como chave pública.
3. O navegador/servidor verifica se confia ou não no certificado SSL. Em caso afirmativo, ele cria e envia uma chave privada criptografada de volta para o site.
4. O servidor da web recebe e descriptografa a chave privada. Em seguida, ele cria uma conexão criptografada e entrega o conteúdo de volta ao cliente.
5. Por fim, o cliente descriptografa o conteúdo e pode iniciar a sessão com segurança.

Esse processo é geralmente chamado de “handshake SSL”. Por quê? Porque é basicamente um acordo entre os dois lados, estabelecendo confiança entre eles. Superficialmente, pode parecer um processo demorado, mas na verdade acontece em milissegundos. Na verdade, praticamente não tem impacto na experiência do usuário final.

Vale destacar que o SSL só pode ser adicionado por sites que possuem um certificado SSL ou TLS. Esses certificados funcionam como um crachá que autentica e verifica o proprietário do site. Um aspecto importante do certificado TLS é a chave pública do site – um mecanismo que torna possível a criptografia.

Os dispositivos visualizam a chave pública e a utilizam para criar chaves de criptografia seguras com o servidor da web. Ao mesmo tempo, o servidor da web possui uma chave privada que é sempre mantida em segredo, pois é ela que serve para descriptografar os dados criptografados pela chave pública.

São muitas chaves. Então, para resumir tudo, vamos dar uma olhada nas definições novamente:

• Handshake SSL: Uma negociação entre duas partes (normalmente um navegador/servidor e um servidor da web) que estabelece uma conexão segura.
• Chave pública: Uma chave criptográfica usada para criptografar mensagens destinadas a um destinatário específico, decifrável somente com o uso de uma segunda ferramenta, ou seja, a chave privada.
• Chave privada: Também conhecida como chave secreta, ela é usada para criptografar e descriptografar dados, iniciando assim uma sessão segura.

Os certificados digitais podem ser divididos por tipo e nível de validação. Vamos examinar primeiro os três principais tipos de certificados SSL e TLS:

1. Domínio único: Como o nome indica, um certificado SSL de domínio único se aplica a apenas um site. Ele não pode ser usado para autenticar nenhum outro domínio, inclusive subdomínios do site para o qual foi emitido.
2. Wildcard: Da mesma forma, um certificado wildcard se aplica a apenas um domínio, mas também pode incluir seus subdomínios. Portanto, você pode usá-lo para proteger informações confidenciais e autenticar tudo sob o domínio abrangente.
3. Multidomínio: Por outro lado, um SSL multidomínio pode listar vários domínios não relacionados em uma certificação SSL.

Os certificados digitais também vêm com diferentes níveis de validação, que são usados por uma Certificate Authority (CA) para comprovar a propriedade do domínio. Eles existem em um espectro que vai desde a validação mínima até verificações rigorosas de antecedentes. Vamos dar uma olhada em cada um deles com mais detalhes:

Validação estendida (Certificado SSL EV)

A maioria dos usuários on-line prefere um certificado SSL EV porque ele vem com a verificação mais abrangente, que inclui verificação de domínio, bem como verificações comparativas que vinculam a entidade a um local físico específico.

Esse tipo de verificação deixa um registro detalhado, fornecendo aos clientes um recurso caso ocorra fraude durante a transação naquele site.

Validação da organização (Certificado SSL OV)

Os domínios que obtêm um certificado OV são submetidos a um processo um pouco menos rigoroso. A CA entra em contato com a pessoa ou empresa que solicita o certificado, mas não faz uma verificação completa do histórico do solicitante.

Além da propriedade do domínio, a empresa é validada e os detalhes do certificado podem ser visualizados na maioria dos principais navegadores da web, dando aos usuários a oportunidade de determinar se o site em que estão é legítimo ou não.

Validação de domínio (Certificado SSL DV)

Um site protegido por um certificado DV contém apenas um cadeado trancado na barra de endereço, mas não mostra detalhes da organização porque eles não existem. Esses certificados validam apenas a propriedade do domínio, podem ser adquiridos anonimamente e não vinculam um domínio a uma pessoa, lugar ou entidade.

Os certificados digitais existem em todos os formatos e tamanhos, oferecendo vários níveis de proteção e garantia. É importante selecionar o certificado SSL/TLS ideal para as necessidades da sua empresa, ou você poderá correr o risco de aumentar a exposição a possíveis ataques e violações de conformidade.

Em primeiro lugar, considere o nível de validação exigido de sua organização. Seu setor tem padrões rígidos de proteção de dados e criptografia? Que tipo de garantia seus clientes-alvo estão procurando? Que tipo de informações pessoais são coletadas? Essas perguntas devem ajudar você a encontrar o caminho certo.

Em seguida, você deverá selecionar o tipo de certificado necessário para suas finalidades específicas. Pergunte a si mesmo: Qual é o seu principal uso? Você tem uma solicitação de servidor da web padrão ou um cluster de servidores Exchange para atender? Você precisará de um certificado para vários domínios?

Ainda não tem certeza? Experimente nossa ferramenta de seleção de certificados SSL para obter mais orientações.

Aquisição de seu certificado

Depois de restringir suas opções, você terá que enviar uma Solicitação de assinatura de certificado (CSR) a uma Certificate Authority autorizada, como a Entrust.

Além disso, é necessária a permissão do proprietário do domínio para cada domínio incluído em um certificado. A CA não poderá processar solicitações de certificado se o nome de domínio não estiver registrado na empresa solicitante, em sua matriz ou em uma de suas subsidiárias. Você terá que fornecer um número de telefone comercial e as informações de contato de um líder sênior. No total, você precisará de:

• Informações de pagamento válidas
• Informações de contato de autorização
• Informações de contato técnico
• Informações de contato de cobrança
• A CSR preenchida
• Uma lista de todos os domínios

Na Entrust, fornecemos acesso flexível e conveniente a uma ampla gama de certificados SSL/TLS, permitindo que você faça a melhor escolha para sua organização.

A Entrust é membro fundador do Conselho de segurança de Certificate Authorities (CA) e do Fórum da CA/navegador. Nossos especialistas em segurança digital contribuem ativamente para o desenvolvimento de padrões do setor para TLS/SSL, assinatura de documentos, certificados de assinatura de código e gerenciamento de certificados.

Mais do que apenas liderança, oferecemos um portfólio robusto e confiável de certificados digitais para uma ampla gama de requisitos empresariais. Com a premiada plataforma de certificados da Entrust, você ganha:

• Suporte premiado
• Compatibilidade universal de navegadores
• Reemissões Ilimitadas
• Licenças de servidor ilimitadas
• Criptografia de 128 a 256 bits
• Todos os certificados da Entrust estão em conformidade com a infraestrutura de chave pública internacional x.509 amplamente aceita (PKI).