Uma conexão segura é criptografada e, portanto, protegida; uma conexão não criptografada não é. Parece simples, certo? Mas de onde vêm os certificados e qual a diferença entre SSL e TLS? Qual é o papel dos certificados digitais na segurança?
Neste artigo, vamos explorar essas questões e outras relacionadas. Começaremos examinando o que significam HTTP e HTTPS na barra de endereços do seu navegador.
HTTP e HTTPS para transferência de dados
Quando um visitante navega em um site e insere ou lê dados, essas informações são trocadas entre o computador do visitante e o servidor onde o site está hospedado. Esse processo é gerido por um protocolo de transferência de dados conhecido como HTTP (HyperText Transfer Protocol).
Há também uma versão segura do HTTP chamada HTTPS (HyperText Transfer Protocol Secure). O HTTPS assegura que a troca de informações entre o cliente e o servidor seja criptografada, garantindo que apenas essas duas partes possam acessar os dados, protegendo-os de terceiros, como provedores de internet ou administradores de redes Wi-Fi.
A criptografia dos dados enviados do cliente para o servidor é feita por meio de um protocolo criptográfico. O primeiro protocolo utilizado para isso foi o SSL (Secure Sockets Layer), que teve várias versões com problemas de segurança. O SSL foi sucedido pelo TLS (Transport Layer Security), uma versão aprimorada que continua em uso atualmente. Embora o nome SSL tenha sido substituído, ele ainda é frequentemente usado para se referir ao TLS.
Para que um site utilize criptografia, ele deve possuir um certificado digital, que atesta que o sistema de criptografia é confiável e segue o protocolo correto. Além do “S” em HTTPS, um sinal de que um site possui esse certificado é um ícone de cadeado verde (ou um escudo em alguns navegadores) com a palavra “Secure” ou o nome da empresa na barra de endereços. Você pode verificar isso na parte superior da janela do seu navegador; todos os sites da Kaspersky Lab utilizam HTTPS.
Como um site obtém um certificado SSL
Há duas formas principais de obter um certificado digital. A primeira é emitir um certificado autoassinado, que é criado e assinado pelo próprio webmaster e gera suas próprias chaves criptográficas. Quando os usuários acessam um site com um certificado autoassinado, eles geralmente recebem um aviso informando que o certificado não é confiável.
Nesse caso, o navegador pode mostrar um cadeado riscado, um escudo vermelho, a mensagem “Não seguro”, ou exibir as letras HTTPS em vermelho, variando conforme o navegador e sua versão.
A alternativa mais recomendada é adquirir um certificado assinado por uma autoridade de certificação (CA) reconhecida. Essas CAs realizam a verificação dos documentos do proprietário do site e confirmam a posse do domínio, garantindo que o certificado prove a autenticidade do recurso e a legitimidade da empresa associada a ele.
Enquanto existem várias CAs, apenas algumas são amplamente respeitadas. A confiança que os desenvolvedores de navegadores depositam em uma CA e como os sites com certificados dessa CA são apresentados aos usuários dependem da reputação da CA. O custo de um certificado varia com base no tipo e na duração de validade, bem como na reputação da CA que o emite.
Tipos de certificados SSL
Os certificados assinados por CAs vêm em diferentes sabores, variando de acordo com sua confiabilidade, quem pode recebê-los, como e preço.
Certificados de validação de domínio
Para obter um certificado de Validação de Domínio, uma pessoa física ou jurídica deve provar que possui o domínio em questão ou administra seu site nele. Este certificado permite estabelecer uma conexão segura, mas não contém informações sobre a organização à qual pertence e nenhum documento é necessário para emiti-lo. Obter esse certificado raramente leva mais do que alguns minutos.
Certificados de validação da organização
As versões de nível superior são conhecidas como certificados de validação da organização, que confirmam não apenas que a conexão com o domínio é segura, mas que o domínio realmente pertence à organização especificada no certificado. Verificar toda a documentação e emitir um certificado pode levar vários dias. Se um site tiver um certificado DV ou OV, o navegador exibirá um cadeado cinza ou verde com a palavra Seguro e as letras HTTPS na barra de endereço.
Certificados de Validação Estendida
Por fim, temos certificados de Validação Estendida de nível superior. Assim como no tipo OV, somente as entidades legais que forneceram todos os documentos necessários podem obter certificados desse tipo e fazem com que o nome e a localização das organizações apareçam em verde, ao lado de um cadeado verde, na barra de endereços.
Os certificados EV são os mais confiáveis pelos navegadores e também os mais caros. Novamente, dependendo do navegador, as informações sobre o certificado (quem o emitiu, quando, seu período de validade) podem ser visualizadas clicando no nome da organização ou na palavra Seguro.
Problemas com certificados
A segurança online e a proteção de dados do usuário são princípios-chave que os principais desenvolvedores de navegadores, como Google e Mozilla, levam em consideração em suas políticas. Por exemplo, no outono de 2017, o Google anunciou que, a partir de então, nomearia e envergonharia todas as páginas que usassem uma conexão HTTP, marcando-as como “Não seguras” e, essencialmente, obstruindo o acesso dos usuários a essas páginas.
A mudança do Google efetivamente forçou os sites HTTP a comprar um certificado confiável. Assim, a demanda por serviços de CA disparou, levando muitas autoridades a acelerar a etapa de verificação de documentos, o que teve um efeito negativo no controle de qualidade.
O resultado líquido é que, hoje em dia, certificados confiáveis podem ser emitidos para sites que não são totalmente confiáveis. Um estudo do Google revelou que uma das maiores e mais respeitáveis CAs emitiu mais de 30.000 certificados sem realizar a devida diligência. As consequências foram terríveis para a CA em questão: o Google afirmou que deixaria de confiar em todos os seus certificados enquanto se aguardava a revisão completa de seu sistema de verificação e a introdução de novos padrões. A Mozilla também planeja endurecer a verificação de certificados em seus navegadores.
Apesar das respostas, ainda não é possível ter certeza absoluta de que um certificado e seu proprietário são de boa-fé. Mesmo no caso de um certificado EV que atenda externamente a todos os requisitos de segurança, a fonte verde não pode ser confiável incondicionalmente.
A situação com os certificados EV é lamentável. Os phishers podem, por exemplo, registrar uma empresa com um nome suspeitamente semelhante ao de uma empresa conhecida e obter um certificado EV para o site. O nome da empresa que soa familiar aparecerá em verde na barra de endereços do site de phishing, adicionando credibilidade. Portanto, ao usar qualquer página da Web, os usuários devem sempre ficar atentos e seguir essas diretrizes.
