O que é um certificado SSL?
Um certificado SSL é um certificado digital que permite a comunicação segura entre um sítio Web e os seus visitantes. É utilizado para encriptar os dados trocados entre o sítio Web e o browser do utilizador, protegendo-os assim contra o acesso não autorizado. SSL significa Secure Sockets Layer (camada de soquetes seguros).
Um certificado SSL é um certificado digital emitido pelas Autoridades de Certificação (CA) para os sítios Web, autenticando a sua identidade e permitindo uma ligação segura entre as páginas Web e os navegadores Web. Os certificados SSL inspiram confiança na Internet porque mostram aos utilizadores da Internet que o tráfego entre o seu navegador Web e um sítio Web está encriptado.
Esta ligação segura é indicada por um ícone de cadeado na barra de endereço do browser e pelo protocolo "https" no URL do sítio Web. Os certificados SSL são essenciais para as transacções em linha, como as compras de comércio eletrónico, uma vez que garantem que as informações sensíveis, como os dados do cartão de crédito, são transmitidas em segurança. No entanto, existe o perigo de os certificados SSL criarem uma falsa sensação de segurança, uma vez que os sítios Web maliciosos também podem obter certificados SSL. Por exemplo, tem-se verificado um aumento de sítios Web de phishing aos quais foram concedidos certificados de validação de domínio (DV) por autoridades que não controlam os sítios que obtêm certificados. Além disso, os certificados SSL não podem proteger os sítios Web de ataques maliciosos, como injeção de SQL ou malware.
Como é que um certificado SSL funciona?
Um certificado SSL funciona através da utilização de algoritmos de encriptação para encriptar os dados trocados entre um navegador Web e um sítio Web.
Quando os dados são encriptados, é quase impossível que um agente de ameaça os leia. Exemplos de dados incluem palavras-passe, nomes e informações financeiras.
Eis o processo em cinco passos de como funciona um certificado SSL:
- Um navegador tenta ligar-se a um sítio Web com um certificado SSL.
- O servidor do sítio Web envia uma cópia do seu certificado SSL para o navegador para validação. A chave pública do sítio Web no certificado ajudará a encriptar os dados durante a sessão.
- O browser valida o certificado para garantir que é autêntico, não revogado e não expirado. Após a validação, o browser utiliza a chave pública do servidor para criar uma chave simétrica encriptada e envia-a para o servidor.
- O servidor utiliza a sua chave privada para desencriptar a chave de sessão simétrica. Indica que está pronto para iniciar uma sessão de encriptação enviando de volta uma confirmação encriptada com a chave de sessão.
- O navegador e o sítio Web estabelecem agora uma ligação segura e encriptada com a chave de sessão.
Todo o processo é também designado por SSL handshake e é quase instantâneo. Depois de o certificado SSL proteger a ligação:
- Aparece um ícone de cadeado na barra de endereço do browser mesmo antes doURL.
- O URL é precedido pelo acrónimo HTTPS (HyperText Transfer Protocol Secure).
O que é que os certificados SSL incluem?
-
Nome do domínio: O nome ou nomes de domínio para os quais o certificado SSL é válido.
-
Detalhes da emissão: O dispositivo ou pessoa para quem o certificado SSL foi emitido e a autoridade de certificação que o emitiu.
-
Assinatura digital: A assinatura digital que verifica a autenticidade do certificado.
-
Datas: A data de emissão e de expiração do certificado.
-
Chave pública: Um certificado SSL inclui uma chave pública, enquanto a chave privada é mantida privada.
Para que é utilizado um certificado SSL?
Um certificado SSL é utilizado para criar uma ligação segura entre um browser e um sítio Web. O certificado ajuda a proteger qualquer troca de dados entre um dispositivo e o servidor de um sítio Web. Para além de encriptar as ligações, os certificados SSL ajudam a proteger a segurança dos utilizadores do sítio Web. Além disso, um certificado SSL ajuda a desenvolver a confiança num sítio Web.
Porque é que preciso de um certificado SSL para o meu sítio Web?
Um certificado SSL nunca deve ser considerado como a única ferramenta para a cibersegurança de um sítio Web. No entanto, é necessário um certificado SSL para o seu sítio Web pelas seguintes razões
-
Proteção de dados: Uma encriptação SSL ajuda a proteger os dados trocados entre o seu sítio Web e os seus visitantes contra os cibercriminosos. Isto não só é bom para o negócio, como também pode ajudar a sua plataforma em linha a cumprir as leis de privacidade.
-
Confiança: O utilizador médio da Internet sentir-se-á mais confiante ao navegar no seu sítio Web, sabendo que o sinal do cadeado e o acrónimo HTTPS significam uma ligação segura.
-
SEO: Os sítios Web com certificados SSL têm uma classificação mais elevada nos motores de busca, uma vez que são considerados seguros. De facto, alguns navegadores até assinalam o sítio Web http e avisam os utilizadores para não visitarem esse sítio, uma vez que não é seguro.
Tipos de certificados SSL
O seu sítio Web pode obter vários tipos diferentes de certificados SSL. Cada certificado tem os seus próprios pontos fortes, processos de verificação e custos.
Certificados validados por domínio (DV)
Os certificados DV tendem a ser mais económicos do que os certificados SSL EV ou OV. Embora sejam normalmente os mais baratos, apenas fornecem uma verificação básica. Os certificados DV são normalmente utilizados por sítios Web de baixo risco, como quadros de mensagens ou páginas de blogues.
Certificados de validação alargada (EV)
Um certificado de validação alargada envolve o nível mais elevado de validação e é normalmente o tipo de certificado SSL mais caro. Os sítios Web de renome que oferecem compras online ou comércio eletrónico utilizam normalmente este tipo de certificado. Para além do sinal de cadeado, um certificado EV SSL mostra o nome e o país de uma organização na barra de endereço.
Certificados validados pela organização (OV)
Tal como os certificados EV, os certificados OV fornecem um nível de validação mais elevado em comparação com os certificados SSL DV. Os certificados OV também apresentam as informações do proprietário de um sítio Web na barra de endereço.
Certificados SSL curinga
Um certificado SSL Wildcard protege um domínio principal e um número ilimitado de subdomínios num único certificado. As empresas com vários subdomínios sob um único domínio tendem a obter este tipo de certificado para reduzir os custos.
Certificados SSL multi-domínio
Os certificados SSL multi-domínio vão um passo mais além do que os certificados SSL Wildcard. Permitem que um único certificado proteja muitos domínios e subdomínios. Estes tipos de certificados são melhores para organizações com vários sítios Web.
Comprar um certificado SSL: Como comprar um certificado SSL
Comece por pesquisar diferentes certificados SSL e escolha o que corresponde às suas necessidades. Por exemplo, se tiver um único domínio com muitos subdomínios, pode precisar de um certificado SSL Wildcard. Em alternativa, pode optar por um certificado DV para a sua página pessoal.
Depois de escolher o tipo de certificado, compre o seu certificado consultando uma lista de Autoridades de Certificação (AC). Os certificados das Autoridades de Certificação variam de acordo com o preço. Enquanto alguns certificados são gratuitos, outros podem custar centenas ou mesmo milhares de dólares.
Prepare o seu servidor para garantir que o seu registo WHOIS corresponde à sua aplicação à sua CA. De seguida, terá de gerar um Pedido de Assinatura de Certificado (CSR). O CSR conterá os seus dados e a sua chave pública. Depois de submeter o CSR à AC, poderá ter de fornecer outra documentação, como a prova de propriedade do seu domínio.
Depois de receber os ficheiros do certificado, pode instalar o SSL. O processo depende do seu tipo de servidor. Contacte o seu fornecedor de sítios Web para obter ajuda, se necessário. Posteriormente, terá de configurar o seu sítio Web para utilizar HTTPS. Pode utilizar um verificador de SSL para garantir que o seu certificado é autêntico e está corretamente instalado.
Renovação do certificado SSL: Como renovar um certificado SSL
Os certificados SSL têm uma data de expiração. Planeie com antecedência para garantir que a renovação do seu SSL é feita a tempo. Se atrasar a renovação, o seu sítio Web pode perder o selo de confiança.
O processo de renovação de um certificado SSL é semelhante ao da compra de um novo. Terá de gerar um novo CSR e enviá-lo à sua CA. Terá também de instalar os ficheiros do certificado SSL atualizado no seu servidor, como anteriormente, e garantir que o seu certificado está corretamente instalado com um verificador SSL.
Preços dos certificados SSL: Quanto custa um certificado SSL?
Os preços dos certificados SSL variam significativamente. Enquanto alguns certificados SSL podem ser obtidos gratuitamente, os certificados SSL de nível empresarial podem custar milhares de dólares por ano. O custo de um certificado SSL é afetado pelo número de domínios e subdomínios, pelo tipo de certificado, pelo nível de segurança e pela reputação da Autoridade de Certificação (CA).
Certificado TLS vs. SSL: A diferença entre TLS e SSL
Embora o SSL (Secure Sockets Layer) e o TSL (Transport Layer Security) sejam ambos protocolos criptográficos, o TLS é a versão actualizada. O TLS é considerado mais seguro e moderno, com um melhor aperto de mão TLS. O TLS também é compatível com versões anteriores e pode ligar-se a um servidor SSL.
Os termos "SSL" e "TLS" são muitas vezes utilizados indistintamente na Internet, embora o segundo seja um substituto do primeiro. Muitos emissores de certificados referem-se mesmo aos seus certificados TLS como certificados SSL.
Como verificar se um site tem um certificado SSL
https://
Verifique se o endereço do sítio Web começa com o acrónimo "HTTPS". HTTPS é a abreviatura de Hyper-Text Transfer Protocol Secure (Protocolo de Transferência de Hipertexto Seguro).
Ícone de cadeado
Um sítio Web com um certificado SSL deve ter um sinal de cadeado na barra de endereço. Pode clicar no sinal de cadeado para saber mais sobre a autoridade emissora do SSL, a data de expiração e o proprietário do sítio Web.
Barra de endereço verde
A barra de endereço verde era um indicador SSL para sítios Web com certificados EV SSL. No entanto, os principais criadores de programas de navegação, como a Apple e a Google, consideram-na obsoleta.
Ferramentas
Alguns sítios Web e extensões do navegador podem verificar se um sítio Web tem um certificado SSL válido. Por exemplo, pode introduzir o URL de um sítio Web no SSL Shopper'sSSLChecker para saber mais sobre a sua certificação.
O que é um erro de certificado SSL?
Um erro de certificado SSL pode ocorrer quando há um problema com o certificado de um sítio Web. Um erro de certificado SSL pode ocorrer por vários motivos. Enquanto alguns erros podem ser devidos a razões inócuas, outros podem ser devidos a factores maliciosos. É melhor proceder com cautela ao abrir um sítio Web que apresente um erro de certificado SSL.
Certificado SSL expirado
Como mencionado, os certificados SSL têm datas de expiração. Por vezes, os proprietários de sítios Web podem esquecer-se de renovar o seu certificado SSL. Um certificado SSL expirado fará com que o seu browser apresente uma mensagem de erro.
Certificado SSL não fiável
Cada browser pode aceder a uma lista de fornecedores de certificados SSL fiáveis. O browser pode indicar-lhe que o certificado SSL de um sítio Web não é de confiança se a autoridade emissora do sítio Web não constar da lista ou for suspeita. Por exemplo, poderá ver um erro se o certificado for auto-assinado ou obtido de um emissor fraudulento.
SSL mal configurado
Depois de obter um certificado SSL, o proprietário de um sítio Web deve instalá-lo e configurá-lo corretamente. Um certificado SSL mal configurado pode dar origem a um erro no sítio Web.
Incompatibilidade de nomes
Os certificados SSL são emitidos para domínios e subdomínios específicos. Uma incompatibilidade nos registos obrigará o browser a apresentar uma mensagem de erro.
Certificado SSL revogado
Os emissores de certificados SSL podem revogar um certificado antes da sua data de expiração se a sua chave privada tiver sido comprometida ou se o domínio tiver sido encerrado. Um sítio Web também pode solicitar a revogação do seu certificado. Independentemente do motivo pelo qual o certificado SSL foi revogado, o resultado será um erro.
Os certificados SSL são gratuitos?
Embora nem todos os certificados SSL sejam gratuitos, alguns são de facto gratuitos. Os certificados SSL gratuitos são normalmente certificados Domain Validated (DV). São os melhores para páginas pessoais ou pequenas empresas. Os sítios Web de maiores dimensões devem obter certificados pagos que ofereçam melhor segurança e mais funcionalidades do que os certificados SSL DV.
Um sítio Web sem SSL pode ser pirateado?
Um certificado SSL apenas protege a ligação entre um utilizador e um sítio Web. Um sítio Web com ou sem certificação SSL pode ser pirateado de várias formas. Os agentes de ameaças podem explorar vulnerabilidades de segurança, credenciais de início de sessão fracas, codificação deficiente, software desatualizado e outros meios para piratear um sítio Web.
As técnicas de pirataria de sites incluem:
-
Injeção de SQL.
-
Scripting entre sítios (XSS).
-
Ataques de força bruta como esteataque DDoS que bateu recordes.
-
Quedas de malware.
-
Expedições de phishing a funcionários de sítios Web.
Qual é a duração dos certificados SSL?
Houve uma altura em que os certificados SSL podiam ser emitidos com um período de expiração de cinco anos. No entanto, este período de tempo foi ajustado várias vezes. Desde finais de 2020, um certificado SSL não pode ser emitido por mais de 13 meses.
Um certificado SSL significa que um sítio Web é seguro para utilização?
Embora um certificado SSL signifique que a sua ligação a um sítio Web é segura, não significa necessariamente que o sítio Web seja seguro de utilizar. Por exemplo, os sítios Web maliciosos também podem obter alguns tipos de certificados SSL, como os certificados DV.
Embora os sítios Web de phishing possam conter certificações DV, são concebidos para roubar informações confidenciais, tais como nomes, endereços, palavras-passe e informações sobre cartões de crédito. Os sítios Web de phishing podem parecer legítimos, mas podem ter erros gramaticais, gráficos de baixa qualidade, design deficiente ou ofertas que parecem demasiado boas para serem verdadeiras.
Além disso, os agentes de ameaças podem piratear sítios Web legítimos com certificados SSL utilizando diferentes ferramentas e explorações.
Eis alguns passos que o podem ajudar a verificar a segurança de um sítio Web:
-
UtilizarMalwarebytes Browser Guard para bloquear páginas da Web que contenham malware, fraudes e outros conteúdos maliciosos.
-
Subscreva um serviço de Rede Privada Virtual (VPN) para encriptar os seus dados e ocultar o seuendereço IP. Pode aprender comofunciona a VPN para encriptar os seus dados e ocultar a sua localização.
-
Certifique-se de que o URL do site está corretamente escrito. Um site de phishing com um certificado SSL básico que se faz passar por Walmart.com pode ter um endereço muito semelhante que apenas varia um ou dois caracteres. Por exemplo, em vez de Walmart.com, pode dizer Walmert.com ou Walmrat.com.
-
Procure o sinal do cadeado e o acrónimo HTTPS na barra de endereço para se certificar de que tem um certificado SSL. No mínimo, um sítio Web com um certificado SSL oferece uma ligação encriptada.
-
Clique no sinal de cadeado na barra de endereço do navegador para verificar a identidade do proprietário do sítio Web e verificar a autoridade do certificado e a data de expiração.
-
Investigue a reputação do sítio Web com um verificador de segurança de sítios Web.
Um site pirateado ou de phishing também pode infetar o seu sistema com malware. Obtenha proteção contra malware para garantir que os seus computadores e dispositivos estão livres de software malicioso. Siga estas sugestões de segurança na Internet para obter mais segurança para o seu browser.