A importância dos certificados SSL

Certificados SSL e HTTPS são duas componentes que têm vindo a ser muito faladas nos últimos tempos, principalmente por quem procura indexar o seu site no Google numa melhor posição. No entanto, estas duas componentes já deviam ser faladas à muito mais tempo por toda a gente, desde os donos de sites, até às entidades que correm diversos serviços na web. Também os que visitam websites e principalmente os que fazem pagamentos online, deveriam estar atentos a esta componente tão importante da segurança online. Resumindo, todos os que usam a Internet no seu dia a dia, deveriam saber o que é HTTPS e Certificados SSL.

Os dois termos parecem um pouco vagos para quem não tem conhecimentos técnicos. Mas tendo em conta os tempos que se vivem, com inúmeros ataques informáticos e uma quantidade enorme de malware, torna-se necessário que mesmo os comuns internautas tenham que ter conhecimentos sobre estes termos.

Uma página que possui SSL pode ser identificada por um ícone com um cadeado que é exibido na barra de endereço. Com base no tipo de certificado SSL usado, a barra de endereço também pode ser exibida a verde. Além disso, em vez de http://, passará a ver https://.

HTTP vs HTTPS

HTTP (Hypertext Transfer Protocol) é um protocolo de comunicação na camada de aplicação. O funcionamento é muito simples: um browser (Chrome, Safari, Firefox … ) actua como cliente enviando um pedido HTTP para o servidor, sendo que o servidor responde depois a esse mesmo pedido. Na prática, HTTP é o protocolo usado para transferir documento de hipertexto na World Wide Web (www).

Embora tenha sido usado durante muitos anos (e ainda continue a ser usado), a verdade é que o protocolo HTTP tem inúmeras falhas de segurança, tornando a ligação insegura. Assim, o HTTP evoluiu para HTTPS. Até se chamar HTTPS (HTTP Secure), este protocolo passou por outros nomes, como HTTP over TLS e HTTP over SSL.

Basicamente, o HTTPS é o protocolo mais utilizado na internet para comunicação segura numa rede de computadores. A comunicação é feita através de uma conexão que é encriptada por SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). HTTPS permite autenticar o site que estamos a visitar e protege a integridade e a privacidade dos dados que estão a ser transferidos, protegendo assim os utilizadores de ataques que tentam roubar os dados durante a conexão (man-in-the-middle attacks, mais conhecidos por MitM).

Apesar de só agora muitos utilizadores começarem a ter noção desde tipo de conexão, a verdade é que ela já existia e era bastante usada para proteger transações críticas, como é o caso de pagamentos online em lojas eCommerce e também de comunicações por email. Mais tarde, todas as páginas Web que necessitavam de autenticação começaram também a usar o protocolo HTTPS.

Desde há uns tempos para cá, e dada a necessidade de promover a segurança na Internet, alterou as regras de indexação no seu motor de busca, dando assim prioridade a sites HTTPS.

Porque é necessário o SSL?

Como já tivemos oportunidade de dizer antes, o SSL (Secure Socket Layer) cria uma conexão encriptada entre um servidor web e o cliente. Isto significa que sempre que alguém aceder a um site com SSL, terá sempre os seus dados a serem transmitidos de forma segura, sem estarem sujeitos a falsificação de mensagens, adulteração de dados ou até mesmo de espionagem. Tudo isto pode acontecer caso a ligação não seja encriptada, através de ataques MitM que se têm vindo a tornar muito comuns nos dias de hoje.

Quando um site possui SSL devidamente configurado, qualquer transmissão de dados entre o Browser e o servidor (ou seja, entre o utilizador e o servidor onde estão os dados) é encriptada e apenas o dono do site consegue ver a informação que está a circular.

No caso das Lojas Online, ou seja eCommerce, a segurança online é obrigatória. Uma falha de segurança pode ter sérias consequências, desde a perde do negócio, perda da confiança dos clientes e até mesmo implicações legais. Quando se pensa abrir uma loja online, o primeiro passo a nível de segurança, e o mais básico, é mesmo adquirir um certificado SSL. É verdade que é sempre um custo extra para quem está a lançar o seu negócio online, no entanto, é uma necessidade, uma obrigatoriedade. Quem ignora este simples passo, se não começou já a falhar, estará muito para breve, isto devido a um aumento das medidas de segurança na Internet e também devido a uma maior consciência e uma maior atenção por parte dos utilizadores.

Os certificados SSL são emitidos por entidades que são conhecidas como Certificate Authorities (CAs). Existem muitas CAs mas, no entanto, o melhor é mesmo obter um certificado junto de uma das entidades mais reconhecidas, dado que existem certificados a serem emitidos sem que os processos de validação sejam seguidos. Os certificados SSL apenas são emitidos depois de a CA validar o domínio para o qual se pede o certificado, assim como a organização.

Detalhes dentro de um certificado SSL

Os certificados SSL, quando são emitidos, podem ser para pessoas individuais ou então para empresas. Dentro de um certificado SSL, seguem várias informações:

• Para que finalidade se destina o certificado
• Quem emitiu o certificado (CA)
• Para quem foi emitido o certificado
• Validade do certificado (informa o dia em que expira)

Outras informações também podem surgir, tais como:

• Nome da empresa
• Morada
• Cidade
• País
• Tipo de certificado SSL
• Protocolo usado (se é TLs 1.2 por exemplo)
• A chave usada
• A cifra usada
• Chave pública do certificado
• Assinatura do algoritmo do certificado
• Estado do certificado

Validação certificados SSL

Quando um Browser faz um pedido de ligação HTTPS, ele recebe o certificado SSL que está associado ao site que foi solicitado. Depois de o receber, o Browser irá verificar se ele ainda é válido e se não expirou. Também verifica se está a ser usado mesmo para o site que a CA o emitiu, sendo que ao mesmo tempo também verifica se a chave está correcta. Se alguma destas verificações falhar, o Browser irá mostrar uma mensagem de aviso para o utilizador.

Tipos de certificados SSL

Existem vários tipos de certificados SSL:

• Domain-validated certificates
• Web server authentication certificates
• Extended Validation certificates
• Wildcard certificates
• Unified Communications (UC or SAN) certificates
• Code signing certificates
• E-mail certificates

Os Domain-Validated Certificates são certificados que são emitidos depois de a CA verificar o domínio de uma empresa ou organização. A autoridade de certificação apenas verifica os registos WHOIS para verificar o dono do domínio e depois emite o certificado. Este tipo de certificados são os mais baratos, sendo que também oferecem um nível de segurança mais baixo.

No caso de querermos garantir a segurança de servidores web, servidores de email ou até servidores para transferência de ficheiros, já devemos recorrer aos Web Server Authentication Certificates.

Os Extended Validation Certificates são os que fazem com que a barra de endereço do browser fique verde. Na verdade, este tipo de certificados também valida o próprio negócio antes de serem emitidos, o que garante uma maior segurança aos utilizadores do website.

No caso de termos múltiplos sub-dominíos, existem os Wildcard Certificates. Estes certificados são emitidos para garantirem a segurança de um domínio e de todos os sub-domínios que lhe estão associadas. Um simples certificado permite garantir a segurança de *.yourdomain.com. Ou seja, significa que a.yourdomain.com, b.yourdomain.com, xyz.yourdomain.com também se encontram seguros.

De forma a garantir a segurança de múltiplos domínios, existem certificados do tipo Unified Communications (UC or SAN). Estes certificados são iguais aos Web Server Authentication, mas permitem ser associados a vários domínios.

Também é possível garantir a segurança do código que está a ser executado para gerar a página. São os Code Signing Certificates. Este tipo de certificados garante que o código não foi alterado por terceiros, dado que permite confirmar o autor do código através de uma assinatura digital.

Para encriptar os emails, dando maior segurança e privacidade aos dados, existem os E-Mail Certificates, também conhecidos como S/MIME Certificates.

Conclusão

Todos os sites deveriam estar protegidos por um certificado SSL. No entanto, e dado que é impossível viver num mundo perfeito, existem algumas considerações que todos deveríamos ter em conta.

Em primeiro lugar, quem faz sites, deveria ter a perfeita noção de que necessita de proteger os mesmos. Ainda para mais se estivermos a falar de um site que tenha pagamentos ou então que trate informação sensível dos utilizadores.

Depois, os próprios utilizadores deverão começar a ter maior cuidado. Ao visitar um site que não tem proteção SSL, os utilizadores estão a arriscar que os seus dados sejam roubados e a sua privacidade seja comprometida. Por isso mesmo, devem sempre verificar se existe o tal cadeado verde na barra de endereço, principalmente se estão a fazer compras online ou a preencher formulários com informação sensível.