Certificado SSL: Definição, tipos e custos
A internet é maravilhosa por disponibilizar informações gratuitas e em tempo real, e possibilitar trocas ilimitadas de conhecimento. Contudo, nem todo mundo que está na internet tem boa intenção. Criminosos estão sempre desenvolvendo métodos para interceptar dados confidenciais, como senhas de e-mail e acessos a bancos. Um desses métodos consiste em criar um site falso, semelhante ao de empresas com boa reputação. Usuários desavisados podem cair nesse golpe e transmitir dados privados a criminosos. Até mesmo sites oficiais podem estar sendo usados para interceptação de dados, se estes não estiverem devidamente protegidos.
Para proteger usuários da internet contra ações criminosas como essas, certificados SSL tornaram-se um padrão internacional de segurança. Quando um site tem um certificado SSL confiável, dados de usuários estão seguros. Entenda porquê.
Certificado SSL da IONOS
Proteja seu domínio e conquiste a confiança dos seus visitantes com um site com criptografia SSL!
O que é um certificado SSL?
SSL (Secure Sockets Layer) é um protocolo de criptografia da pilha de protocolos TCP/IP. Ele serve como uma prova confiável de identidade. Além disso, um certificado SSL muitas vezes contém informações que permitem que o navegador e o servidor criptografem os dados transmitidos, aumentando a segurança. Na verdade, os certificados atuais geralmente não são mais baseados no sistema SSL, e sim no seu sucessor, o sistema TLS (Transport Layer Security). Porém, o nome antigo continua a ser usado como padrão.
Como explicado, os certificados atuais não mais utilizam o obsoleto sistema SSL, mas um novo sistema mais seguro, o TLS. Contudo, na prática, “certificado SSL” ainda é o termo usado quando se trata de protocolos de criptografia. O certificado em si é um registro de dados simples: um único arquivo contém diversas informações como, por exemplo, o nome do emissor, um número de série e a chamada impressão digital para criptografia. Existem certificados em diferentes formatos de arquivo. Para utilizar um determinado certificado, o operador do site precisa instalá-lo no servidor.
Como obter um certificado SSL?
Para obter um certificado SSL, o operador de um site deve recorrer a uma entidade de certificação. Poucas são as entidades autorizadas a emitir certificados SSL e elas geralmente cobram taxas pelo serviço. Não é qualquer entidade que pode emitir um certificado SSL, porque fabricantes de navegadores (como Microsoft, Mozilla ou Google) também precisam aceitar esses certificados como confiáveis para que eles tenham alguma validade. Se qualquer organização pudesse emitir certificados como esse, eles não gozariam de tanta credibilidade. O caso da desenvolvedora de softwares Symantec ilustra a explicação: depois que o Google perdeu a confiança nessa empresa, seus certificados deixaram de ser aceitos pelo Chrome. Por isso, usuários do navegador do Google não veem mais o símbolo de criptografia, que indica a transmissão segura de dados, quando acessam um site que utiliza um certificado da Symantec.
Saiba mais sobre a disputa entre o Google e a Symantec e entenda como operadores de sites devem lidar com certificados classificados como não confiáveis.
Qual é o prazo de validade de um certificado SSL?
Um certificado aceito pelos navegadores não é válido para sempre. Cada certificado SSL possui um período de validade entre 3 e 24 meses. Quando a validade expira, o operador do site deve renovar o certificado. Caso contrário, as páginas desse site não serão mais consideradas seguras. A renovação periódica dos certificados é indispensável, embora represente um possível custo de tempo e dinheiro para os operadores de sites. Para garantir a segurança dos usuários, as entidades de autenticação precisam verificar regularmente a integridade e a identidade dos sites, bem como os mecanismos de criptografia utilizados.
Um certificado SSL indica duas datas: seu período de validade, e quando sua validação foi emitida.
Qual é o papel da criptografia no certificado SSL?
Existem diversas maneiras de criptografar transferências de dados. O método clássico utiliza uma chave para criptografar os dados e exatamente a mesma chave para descriptografá-los. Na internet, contudo, esse método não faz sentido, já que usuários geralmente entram em contato com pessoas ou organizações com as quais nunca se comunicaram antes. Consequentemente, não há como transmitir uma chave sem antes enviá-la sem criptografia, por meio de um canal público, que é a internet. Por isso mesmo, certificados SSL usam um procedimento diferente.
Em uma infraestrutura de chave pública (public key), não somente uma, mas duas chaves são criadas: uma totalmente pública e uma privada. Uma transmissão é criptografada com a chave pública e só pode ser descriptografada com a chave privada (private key). Assim, o navegador recebe a chave pública pelo certificado e a utiliza para a criptografia. Vários procedimentos diferentes podem ser usados para codificar informações. Neles também, o servidor web fornece as informações necessárias ao navegador por meio do certificado.
Um método de criptografia muito utilizado atualmente é o AES (Advanced Encryption Standard), com a função hash criptográfica SHA256. Porém, esses padrões mudam constantemente, pois tanto criminosos quanto especialistas em criptografia estão sempre buscando e corrigindo vulnerabilidades nos mecanismos de encriptação. Um método que, um ano atrás, era tido como infalível, pode ser violado do dia para a noite e não ser mais considerado seguro.
Quais são os tipos de certificado SSL?
Há vários tipos de certificado SSL. Embora existam diversas entidades emissoras, com os mais diferentes mecanismos de verificação, esses mecanismos de verificação não são o mais importante. O que mais importa em um certificado SSL é, na verdade, quão rigorosa é a validação emitida por uma entidade e quão abrangente o certificado é.
Modalidades de validação
Existem três tipos de validação. Eles se distinguem não só pelo tempo de processamento, como também pelos custos do serviço. Um certificado SSL da categoria Domain Validation pode ser obtido gratuitamente nos dias atuais. Já os certificados com Extended Validation são tão caros que poucas pessoas físicas e empresas de pequeno porte podem arcar com seus custos.
Domain Validation (DV)
Domain Validation é o nível mais baixo de certificado SSL, já que a verificação das pessoas por trás do endereço de um site é apenas superficial. Muitas vezes, a entidade de autenticação somente envia um e-mail para o endereço indicado no registro WHOIS. O requerente então é solicitado, por exemplo, a alterar um registro DNS ou carregar um determinado arquivo em seu servidor, para assim provar que tem controle sobre o domínio.
Muitas vezes esse processo de verificação é totalmente automatizado e, por isso, muitos não o consideram seguro. Vários navegadores marcam um certificados SSL DV de forma diferente, indicando que estes têm os padrões de segurança mais baixos, em comparação com outros certificados. Além disso, essa forma de certificação não fornece nenhuma outra informação sobre o operador do site.
Organization Validation (OV)
Um certificado SSL com Organization Validation oferece um nível a mais de segurança aos visitantes de um site. No processo de validação, a entidade de certificação solicita documentos do operador do site, geralmente depois que o procedimento automático de Domain Validation foi realizado com sucesso. Os documentos exigidos dependem da entidade emissora. Por exemplo, muitas vezes é solicitada uma cópia do registro comercial. Além disso, algumas entidades de autenticação também entram em contato telefônico com o operador do site. Graças a essa verificação mais rigorosa, certificados SSL OV proporcionam mais segurança aos visitantes. Essa modalidade também tem a vantagem de as informações ficarem disponíveis para qualquer usuário, no próprio certificado.
Extended Validation (EV)
Certificados SSL com Extended Validation oferecem o mais alto grau de segurança. Nesse tipo de certificação, a validação inclui não só o domínio e a organização responsáveis, mas também o próprio solicitante do certificado. É verificado, inclusive, se o solicitante realmente trabalha na organização ou empresa indicada e se tem autorização para requerer tal certificado. Além disso, a entidade de certificação também precisa ser qualificada para emitir SSL EV. Para receber essa qualificação, ela deve ser aprovada em uma inspeção do CA/Browser Forum, associação voluntária de autoridades de certificação e fabricantes de navegadores.
Custos: certificados grátis e pagos
Um aspecto relevante na escolha de um certificado SSL é seu custo de obtenção. De modo geral, quanto mais rigorosa a verificação feita pela entidade certificadora, mais caro será o certificado. Desde 2015 a entidade Let’s Encrypt emite certificados completamente gratuitos.
No início de março de 2020, a Let’s Encrypt teve que revogar mais de 3 milhões de certificados SSL/TLS ativos. O motivo da revogação foi um erro na validação de registros CAA (Certification Authority Authorization) no Boulder, o software open source utilizado pela Let’s Encrypt. Esse erro possibilitava, teoricamente, que pessoas recebessem certificados para domínios alheios. A única solução disponível para os afetados foi solicitar, dentro de 24 horas, a geração de um novo certificado para restaurar a criptografia dos seus sites.
Diferenças entre SSL gratuito e SSL pago
Se o objetivo de um operador é apenas proteger o site para que ele não possa ser acessado por meio do usual HTTP, e sim por HTTPS, um certificado gratuito atende às exigências tão bem quanto um pago. Ambas as soluções implementam o protocolo de transferência SSL ou TLS, tornando obrigatória a transmissão segura de dados entre clientes e servidores.
Em outros aspectos, as diferenças entre certificados gratuitos e pagos são decisivas:
- Nível de validação: Ao requerer a emissão de um certificado gratuito, a validação do operador do site não é muito abrangente. O nível de verificação típico dos certificados gratuitos é SSL DV. Certificados SSL com um maior grau de segurança sempre são pagos.
- Prazo de validade: Os certificados pagos geralmente são válidos por um ou dois anos. Já os gratuitos expiram após, no máximo, 90 dias. Portanto, quem opta por SSL/TLS grátis precisa renovar o certificado com uma frequência muito maior.
- Afiliação de domínio: Um certificado SSL gratuito é gerado sempre para um único domínio, ao qual fica vinculado. Soluções SSL/TLS pagas também permitem emitir certificados que abrangem mais de um domínio, podendo ser utilizados para vários sites.
Vantagens do SSL pago
O SSL pago oferece diversas vantagens em relação à alternativa grátis. Certificados pagos têm um período de validade maior e, dependendo do provedor e do pacote, podem ser usados para vários domínios. Isso não só aumenta a flexibilidade, como também é muito menos trabalhoso para o operador do site. Além disso, os respectivos provedores ou entidades de certificação costumam oferecer suporte individual, luxo que não é disponibilizado a possuidores de um certificado SSL gratuito.
Outro benefício de um certificado SSL pago é que, com o provedor e o pacote adequados, é possível exibir não só a indicação de HTTPS ativo, mas também o próprio nome da sua empresa na barra de endereço do navegador.
Qual modalidade é a mais adequada?
Sem dúvida, um certificado SSL EV é a solução de criptografia ideal para um site. Mas só grandes empresas podem arcar com os custos desse tipo de certificação e, por isso mesmo, são o público-alvo desse serviço. Para o setor de pequenas e médias empresas, a princípio, os certificados mais econômicos já são suficientes, contanto que a empresa não trabalhe com dados altamente confidenciais, como no caso de on-line banking. Para projetos menores, em que há pouca ou nenhuma transferência de dados pessoais, certificados SSL gratuitos são uma boa alternativa. No entanto, é bom lembrar que a administração dos certificados leva mais tempo, pois eles têm um tempo de validade mais curto.
Abrangência dos certificados
Ao solicitar um certificado SSL, é preciso considerar sua abrangência, ou seja, se ele abarca também subdomínios, por exemplo.
Single-name
Um certificado padrão é válido para um único domínio. Isso significa que um site como www.exemplo.com e todas as suas subpáginas são cobertos pelo certificado SSL, porém nenhum subdomínio é incluído. Para que haja cobertura de subdomínios, é preciso solicitar um novo certificado ou optar pela modalidade wildcard.
Wildcard
Esse certificado é assim chamado, porque funcionam com um wildcard (curinga). Ou seja, em vez de abranger apenas um domínio, como www.exemplo.com, esse certificado SSL vale também para todos os seus subdomínios, como mail.exemplo.com ou blog.exemplo.com. Eles são emitidos no seguinte formato: *.exemplo.com. O asterisco representa o wildcard.
Multi-domain
Certificados multi-domain (também chamados de certificados SAN) têm uma abrangência muito maior do que certificados single-name e wildcard. Muitas entidades de certificação oferecem certificados que cobrem até 100 domínios. Assim, é possível proteger diversos endereços, como www.exemplo.com e www.exemplo.org, com um único certificado. Para isso, é utilizada uma extensão Subject Alternative Name (SAN), na qual um campo adicional é adicionado ao certificado que contém todos os outros domínios.
Gerador gratuito de nomes para negócios
Encontre o melhor nome para o seu novo negócio, verifique a disponibilidade dele e reivindique-o para você!
Como reconhecer um certificado SSL?
Se você usa um navegador atualizado, é muito fácil saber se o site que você está acessando é protegido com SSL/TLS: basta olhar a barra de endereço. Nela, há dois elementos que indicam o uso de criptografia: o símbolo do cadeado e a sigla https:// no início do endereço, em vez do usual *http://*. O “s” a mais significa “seguro” e sinaliza aos usuários que o* Hypertext Transfer Protocol* contém um nível SSL/TLS adicional. Portanto, que na pilha de protocolos TCP/IP uma camada adicional de criptografia foi introduzida entre TCP e HTTP.
O cadeado (geralmente verde) é basicamente uma indicação visual do seu navegador, que atesta que o site acessado possui um certificado válido. Muitos usuários não sabem disso, mas o cadeado também funciona como um botão, que leva a mais informações sobre a segurança do site. Ao clicar nele, abre-se uma janela pop-up com informações sobre a entidade emissora do certificado, a criptografia utilizada e o período de validade.
Se o site que você está acessando não possuir um certificado SSL válido, você não verá o cadeado nem o https:// na barra de endereço. Além disso, muitos navegadores exibem um alerta se o usuário tentar transmitir senhas ou outros dados confidenciais ao servidor desses sites. O programa então avisa que os dados podem ser interceptados por desconhecidos.
Só porque um site não tem um certificado SSL não significa que ele é um site fraudulento. No entanto, o risco de criminosos usarem esses sites para roubar dados pessoais dos usuários é maior do que em sites com um certificado SSL. Por isso, sobretudo para transmitir dados sensíveis, o protocolo HTTPS é indispensável.