O que é um certificado SSL?
Um certificado SSL é um certificado digital que permite a comunicação segura entre um site e seus visitantes. Ele é usado para criptografar os dados trocados entre o site e o navegador do usuário, protegendo-os, assim, contra acesso não autorizado. SSL significa Secure Sockets Layer (Camada de soquetes seguros).
Um certificado SSL é um certificado digital emitido por Autoridades de Certificação (CA) para sites, autenticando sua identidade e permitindo uma conexão segura entre páginas da Web e navegadores da Web. Os certificados SSL inspiram confiança na Internet porque mostram aos usuários da Internet que o tráfego entre o navegador da Web e um site é criptografado.
Essa conexão segura é indicada por um ícone de cadeado na barra de endereços do navegador e pelo protocolo "https" no URL do site. Os certificados SSL são essenciais para transações on-line, como compras de comércio eletrônico, pois garantem que informações confidenciais, como detalhes de cartão de crédito, sejam transmitidas com segurança. No entanto, há o perigo de os certificados SSL criarem uma falsa sensação de segurança, pois sites mal-intencionados também podem obter certificados SSL. Por exemplo, houve um aumento no número de sites de phishing que receberam certificados de validação de domínio (DV) de autoridades que não controlam quais sites recebem certificados. Além disso, os certificados SSL não podem proteger os sites contra ataques mal-intencionados, como injeção de SQL ou malware.
Como funciona um certificado SSL?
Um certificado SSL funciona usando algoritmos de criptografia para criptografar os dados trocados entre um navegador da Web e um site.
Quando os dados são criptografados, é quase impossível que um agente de ameaças os leia. Exemplos de dados incluem senhas, nomes e informações financeiras.
Aqui está o processo de cinco etapas de como funciona um certificado SSL:
- Um navegador tenta se conectar a um site com um certificado SSL.
- O servidor do site envia uma cópia do seu certificado SSL ao navegador para validação. A chave pública do site no certificado ajudará a criptografar os dados durante a sessão.
- O navegador valida o certificado para garantir que ele seja autêntico, não revogado e não expirado. Após a validação, o navegador usa a chave pública do servidor para criar uma chave simétrica criptografada e a envia ao servidor.
- O servidor usa sua chave privada para descriptografar a chave de sessão simétrica. Ele indica que está pronto para iniciar uma sessão de criptografia enviando de volta uma confirmação criptografada com a chave de sessão.
- O navegador e o site agora estabelecem uma conexão segura e criptografada com a chave de sessão.
O processo inteiro também é chamado de handshake SSL e é quase instantâneo. Depois que o certificado SSL protege a conexão:
- Um ícone de cadeado aparece na barra de endereços do navegador logo antes doURL.
- O URL é precedido pelo acrônimo HTTPS (HyperText Transfer Protocol Secure).
O que os certificados SSL incluem?
-
Nome do domínio: o nome ou nomes de domínio para os quais o certificado SSL é válido.
-
Detalhes do problema: O dispositivo ou a pessoa para quem o certificado SSL foi emitido e a autoridade de certificação que o emitiu.
-
Assinatura digital: A assinatura digital que verifica a autenticidade do certificado.
-
Datas: A data de emissão e expiração do certificado.
-
Chave pública: Um certificado SSL inclui uma chave pública, enquanto a chave privada é mantida em sigilo.
Para que é usado um certificado SSL?
Um certificado SSL é usado para criar uma conexão segura entre um navegador e um site. O certificado ajuda a proteger qualquer troca de dados entre um dispositivo e o servidor de um site. Além de criptografar as conexões, os certificados SSL ajudam a proteger a segurança dos usuários do site. Além disso, um certificado SSL ajuda a desenvolver a confiança em um site.
Por que preciso de um certificado SSL para meu site?
Um certificado SSL nunca deve ser considerado como a única ferramenta para a segurança cibernética de um site. No entanto, você precisa de um certificado SSL para o seu site pelos seguintes motivos:
-
Proteção de dados: Uma criptografia SSL ajuda a proteger os dados trocados entre seu site e seus visitantes contra criminosos cibernéticos. Isso não só é bom para os negócios, mas também pode ajudar sua plataforma on-line a cumprir as leis de privacidade.
-
Confiança: O usuário comum da Internet se sentirá mais confiante ao navegar no seu site, sabendo que o cadeado e o acrônimo HTTPS significam uma conexão segura.
-
SEO: Os sites com certificados SSL têm classificação mais alta nos mecanismos de pesquisa, pois são considerados seguros. Na verdade, alguns navegadores até sinalizam o site http e avisam os usuários para não visitarem esse site, pois ele não é seguro.
Tipos de certificados SSL
Seu site pode obter vários tipos diferentes de certificados SSL. Cada certificado tem seus próprios pontos fortes, processos de verificação e custos.
Certificados com validação de domínio (DV)
Os certificados DV tendem a ser mais econômicos do que os certificados SSL EV ou OV. Embora geralmente sejam os mais baratos, eles fornecem apenas verificação básica. Os certificados DV são normalmente usados por sites de baixo risco, como quadros de mensagens ou páginas de blogs.
Certificados de validação estendida (EV)
Um certificado de validação estendida envolve o mais alto nível de validação e geralmente é o tipo mais caro de certificado SSL. Sites renomados que oferecem compras on-line ou comércio eletrônico geralmente usam esse tipo de certificado. Além do sinal de cadeado, um certificado EV SSL mostra o nome e o país de uma organização na barra de endereços.
Certificados validados pela organização (OV)
Assim como os certificados EV, os certificados OV fornecem um nível mais alto de validação em comparação com os certificados DV SSL. Os certificados OV também exibem as informações do proprietário do site na barra de endereços.
Certificados SSL curinga
Um certificado Wildcard SSL protege um domínio principal e um número ilimitado de subdomínios em um único certificado. As empresas com vários subdomínios em um único domínio tendem a obter esse tipo de certificado para reduzir os custos.
Certificados SSL para vários domínios
Os certificados SSL de vários domínios vão um passo além dos certificados SSL curinga. Eles permitem que um único certificado proteja vários domínios e subdomínios. Esses tipos de certificados são melhores para organizações com vários sites.
Compra de certificado SSL: Como comprar um certificado SSL
Comece pesquisando diferentes certificados SSL e escolhendo aquele que atenda às suas necessidades. Por exemplo, se você tiver um único domínio com muitos subdomínios, talvez precise de um certificado SSL Wildcard. Como alternativa, você pode optar por um certificado DV para sua página pessoal.
Depois de escolher o tipo de certificado, compre o certificado verificando uma lista de Autoridades de Certificação (CA). Os certificados das autoridades de certificação variam de acordo com o preço. Embora alguns certificados sejam gratuitos, outros podem custar centenas ou até milhares de dólares.
Prepare o seu servidor para garantir que o registro WHOIS corresponda ao seu aplicativo para a CA. Em seguida, você precisará gerar uma Solicitação de Assinatura de Certificado (CSR). Sua CSR conterá seus dados e sua chave pública. Depois de enviar o CSR à CA, talvez seja necessário fornecer outra documentação, como comprovante de propriedade do domínio.
Depois de receber os arquivos de certificado, você pode instalar o SSL. O processo depende do tipo de servidor. Entre em contato com o provedor do site para obter ajuda, se necessário. Posteriormente, você precisará configurar seu site para usar HTTPS. Você pode usar um verificador de SSL para garantir que seu certificado seja autêntico e esteja instalado corretamente.
Renovação do certificado SSL: Como renovar um certificado SSL
Os certificados SSL têm uma data de validade. Planeje com antecedência para garantir que a renovação do SSL seja feita dentro do prazo. Se você atrasar a renovação, seu site poderá perder o selo de confiança.
O processo de renovação de um certificado SSL é semelhante ao da compra de um novo. Você precisará gerar um novo CSR e enviá-lo à sua CA. Também será necessário instalar os arquivos do certificado SSL atualizado em seu servidor, como antes, e garantir que o certificado esteja instalado corretamente com um verificador de SSL.
Preços do certificado SSL: Quanto custa um certificado SSL?
Os preços dos certificados SSL variam significativamente. Embora alguns certificados SSL possam ser obtidos gratuitamente, os certificados SSL de nível empresarial podem custar milhares de dólares por ano. O custo de um certificado SSL é afetado pelo número de domínios e subdomínios, pelo tipo de certificado, pelo nível de segurança e pela reputação da autoridade de certificação (CA).
Certificado TLS vs. SSL: A diferença entre TLS e SSL
Embora o SSL (Secure Sockets Layer) e o TSL (Transport Layer Security) sejam protocolos criptográficos, o TLS é a versão atualizada. O TLS é considerado mais seguro e moderno, com um handshake TLS melhor. O TLS também é compatível com versões anteriores e pode se conectar a um servidor SSL.
Os termos "SSL" e "TLS" são frequentemente usados de forma intercambiável na Internet, embora o último seja um substituto do primeiro. Muitos emissores de certificados até se referem a seus certificados TLS como certificados SSL.
Como verificar se um site tem um certificado SSL
https://
Verifique se o endereço do site começa com o acrônimo "HTTPS". HTTPS é a abreviação de Hyper-Text Transfer Protocol Secure (Protocolo de Transferência de Hipertexto Seguro).
Ícone de cadeado
Um site com um certificado SSL deve ter um sinal de cadeado na barra de endereços. Você pode clicar no sinal do cadeado para saber mais sobre a autoridade emissora do SSL, a data de validade e o proprietário do site.
Barra de endereço verde
A barra de endereço verde era um indicador SSL para sites com certificados EV SSL. No entanto, os principais desenvolvedores de navegadores, como a Apple e o Google, consideram-na obsoleta.
Ferramentas
Alguns sites e extensões de navegador podem verificar se um site tem um certificado SSL válido. Por exemplo, você pode inserir o URL de um site no SSL Shopper'sSSLChecker para saber mais sobre sua certificação.
O que é um erro de certificado SSL?
Um erro de certificado SSL pode ocorrer quando há um problema com o certificado de um site. Um erro de certificado SSL pode ocorrer por vários motivos. Enquanto alguns erros podem ser causados por motivos inócuos, outros podem ser causados por fatores maliciosos. É melhor proceder com cautela ao abrir um site que apresente um erro de certificado SSL.
Certificado SSL expirado
Conforme mencionado, os certificados SSL têm datas de validade. Às vezes, os proprietários de sites podem se esquecer de renovar o certificado SSL. Um certificado SSL expirado fará com que seu navegador exiba uma mensagem de erro.
Certificado SSL não confiável
Todo navegador pode acessar uma lista de provedores de certificados SSL confiáveis. Seu navegador pode informar que o certificado SSL de um site não é confiável se a autoridade emissora do site não estiver na lista ou for suspeita. Por exemplo, você poderá ver um erro se o certificado for autoassinado ou obtido de um emissor fraudulento.
SSL configurado incorretamente
Depois de obter um certificado SSL, o proprietário de um site deve instalá-lo e configurá-lo corretamente. Um certificado SSL mal configurado pode resultar em um erro para o site.
Incompatibilidade de nomes
Os certificados SSL são emitidos para domínios e subdomínios específicos. Uma incompatibilidade nos registros forçará o navegador a exibir uma mensagem de erro.
Certificado SSL revogado
Os emissores de certificados SSL podem revogar um certificado antes da data de expiração se sua chave privada tiver sido comprometida ou se o domínio tiver sido fechado. Um site também pode solicitar que seu certificado seja revogado. Independentemente do motivo pelo qual o certificado SSL foi revogado, isso resultará em um erro.
Os certificados SSL são gratuitos?
Embora nem todos os certificados SSL sejam gratuitos, alguns são de fato gratuitos. Os certificados SSL gratuitos geralmente são certificados Domain Validated (DV). Eles são melhores para páginas pessoais ou pequenas empresas. Sites maiores devem obter certificados pagos que ofereçam mais segurança e mais recursos do que os certificados DV SSL.
Um site sem SSL pode ser invadido?
Um certificado SSL protege apenas a conexão entre um usuário e um site. Um site com ou sem certificação SSL pode ser invadido de várias maneiras. Os agentes de ameaças podem explorar vulnerabilidades de segurança, credenciais de login fracas, codificação deficiente, software desatualizado e outros meios para invadir um site.
As técnicas de invasão de sites incluem:
-
Injeção de SQL.
-
XSS (Cross-site scripting).
-
Ataques de força bruta como esseataque DDoS que quebrou recordes.
-
Quedas de malware.
-
Expedições de phishing em funcionários de sites.
Qual é a duração dos certificados SSL?
Houve uma época em que os certificados SSL podiam ser emitidos com um período de expiração de cinco anos. No entanto, esse período de tempo foi ajustado várias vezes. Desde o final de 2020, um certificado SSL não pode ser emitido por mais de 13 meses.
Um certificado SSL significa que um site é seguro para uso?
Embora um certificado SSL signifique que sua conexão com um site é segura, isso não significa necessariamente que o site seja seguro para uso. Por exemplo, sites mal-intencionados também podem obter alguns tipos de certificados SSL, como os certificados DV.
Embora os sites de phishing possam conter certificações DV, eles são projetados para roubar informações confidenciais, como nomes, endereços, senhas e informações de cartão de crédito. Os sites de phishing podem parecer legítimos, mas podem ter erros gramaticais, gráficos de baixa qualidade, design ruim ou ofertas que parecem boas demais para serem verdadeiras.
Além disso, os agentes de ameaças podem invadir sites legítimos com certificados SSL usando diferentes ferramentas e explorações.
Aqui estão algumas etapas que podem ajudá-lo a verificar a segurança de um site:
-
UseMalwarebytes Browser Guard para bloquear páginas da Web que contenham malware, fraudes e outros conteúdos maliciosos.
-
Assine um serviço de rede privada virtual (VPN) para criptografar seus dados e ocultar seuendereço IP. Você pode aprender comoa VPN funciona para criptografar seus dados e ocultar sua localização.
-
Certifique-se de que o URL do site esteja escrito corretamente. Um site de phishing com um certificado SSL básico que se faz passar pelo Walmart.com pode ter um endereço muito semelhante que varia apenas em um ou dois caracteres. Por exemplo, em vez de Walmart.com, ele pode dizer Walmert.com ou Walmrat.com.
-
Procure o sinal de cadeado e o acrônimo HTTPS na barra de endereços para garantir que o site tenha um certificado SSL. No mínimo, um site com um certificado SSL oferece uma conexão criptografada.
-
Clique no sinal de cadeado na barra de endereços do navegador para verificar a identidade do proprietário do site e verificar a autoridade do certificado e a data de validade.
-
Pesquise a reputação do site com um verificador de segurança de sites.
Um site hackeado ou de phishing também pode infectar seu sistema com malware. Obtenha proteção contra malware para garantir que seus computadores e dispositivos estejam livres de software mal-intencionado. Siga estas dicas de segurança na Internet para aumentar a segurança de seu navegador.