A maioria dos sites coleta informações de seus usuários, seja por meio de formulários de contato, assinaturas de boletins informativos ou vendas online. Especialmente se ocorrerem transações online em seu site, a última coisa que você deseja é que o cartão de crédito de seus clientes ou outras informações pessoais sejam roubadas. É aqui que o SSL entra em ação.
Um certificado SSL não é apenas para sites de negócios — qualquer tipo de site se beneficia de uma camada adicional de segurança. Ele não apenas ajuda a garantir a proteção dos dados do cliente, mas também melhora a posição do site nos resultados dos mecanismos de busca e sua credibilidade.
Neste artigo, discutiremos diferentes aspectos relacionados ao SSL. Acompanhe!
O que é um certificado SSL?
Secure Socket Layer (SSL) é um protocolo de segurança que fornece criptografia para dados em trânsito na Internet e autentica o servidor web. Quando você envia informações confidenciais, o SSL criptografa seus dados para garantir que eles estejam totalmente protegidos e seguros e só possam ser entendidos pelo destinatário pretendido.
O SSL é um certificado digital emitido por autoridades certificadoras (CAs) para os sites, que garante que todas as informações trocadas entre o navegador da web do usuário e o servidor da web sejam criptografadas. Ele protege seus dados contra tentativas maliciosas de roubá-los ou corrompê-los, como espionagem e outros tipos de ataques.
Depois que o certificado SSL é instalado, o protocolo do site muda de HTTP para HTTPS seguro. Além disso, um símbolo visual de confiança — um cadeado — é adicionado à URL do seu site. Isso garante aos visitantes que eles estão se comunicando com uma conexão segura.
O certificado SSL contribui para a experiência do usuário no seu site e ajuda a melhorar sua classificação nas páginas de resultados do mecanismo de pesquisa do Google. Também verifica a autenticidade do site.
Vale ressaltar aqui que atualmente a tecnologia está sendo substituída pelo TLS. TLS é uma sigla que representa Transport Layer Security e certifica a proteção de dados de maneira semelhante ao SSL.
Como o SSL funciona?
Os certificados SSL funcionam usando a tecnologia Public Key Infrastructure (PKI). Esta técnica de criptografia usa duas chaves: uma chave privada e uma pública, que ajudam a criptografar a comunicação que ocorre entre os dois sistemas. As chaves são usadas para codificar e decodificar as informações que estão sendo trocadas e para protegê-las efetivamente quando transmitidas.
Quando o visitante tenta se conectar ao site, ele solicita a chave pública do servidor e fornece sua chave pública. O usuário envia uma mensagem ao servidor que é criptografada usando a chave pública. Quando o servidor recebe a mensagem, ele a descriptografa usando a chave privada. As mensagens são enviadas de volta ao navegador após serem criptografadas usando a chave pública do navegador.
Como e quando surgiu o SSL?
O SSL foi criado pela Netscape em 1994. A Internet estava crescendo e havia necessidade de segurança de transporte para navegadores da Web e para vários protocolos TCP. A versão 1.0 do SSL nunca foi lançada porque tinha sérias falhas de segurança. A primeira versão oficial do SSL, versão 2.0, foi lançada em 1995. A versão final do protocolo SSL, SSL 3.0, foi lançada em novembro de 1996.
Em 2011, a Internet Engineering Task Force (IETF) anunciou que o SSL 2.0 estava obsoleto. A instituição então recomendou que a versão fosse abandonada porque, de acordo com um documento que eles divulgaram, o protocolo tinha várias deficiências importantes. Isso inclui o uso de MD5 para autenticação de mensagens, uso da mesma chave para integridade e criptografia de mensagens e fácil encerramento de sessão.
Em junho de 2015, o IETF também anunciou que o SSL 3.0 estava obsoleto. Conforme declarado em um documento divulgado pela IETF, qualquer versão do TLS é mais segura do que todas as versões do SSL.
Como o TLS surgiu?
O protocolo Transport Layer Security (TLS) foi introduzido pela primeira vez em 1999 como uma atualização para SSL v3. O documento TLS 1.0 RFC afirma que as diferenças entre TLS 1.0 e SSL 3.0 não são tão contundentes, mas são significativas o suficiente para impedir a interoperabilidade.
O TLS 1.1 foi uma pequena atualização do TLS 1.0 lançada em abril de 2006. Algumas das diferenças nesta versão incluíam proteções contra-ataques de Cipher Block Chaining (CBC). O TLS 1.2 foi lançado em agosto de 2008. As alterações incluíram a adição de funções pseudo-aleatórias especificadas pelo conjunto de cifras (PRFs), adição de conjuntos de cifras AES, remoção de conjuntos de cifras IDEA e DES e vários outros aprimoramentos.
A versão atual do TLS, a 1.3, foi lançada em agosto de 2018. A IETF levou 10 anos e 28 rascunhos para concluí-la. Desta vez, o protocolo passou por algumas mudanças importantes com foco na simplicidade. Várias tecnologias inseguras foram removidas e, basicamente, o protocolo foi simplificado para melhor desempenho.
Quais são os tipos de certificado SSL?
Ao pesquisar sobre certificados SSL online, você verá que existem diferentes tipos com diferentes níveis de validação. É importante estar familiarizado com essas variações para que você possa obter o tipo certo de certificado para seu site. Existem duas classificações de certificados SSL/TLS, como vamos explicar.
Com base no número de domínios ou subdomínios a serem suportados
Aqui, temos três tipos diferentes de certificados.
Domínio único ou nome único
Um certificado protege apenas um domínio único ou um subdomínio individual. Por exemplo, se você comprar um certificado para proteger www.abc.com.br, não poderá usar o mesmo certificado para proteger seu subdomínio ajuda.abc.com.br.
Curinga
Um certificado protege um único domínio e todos os subdomínios sob ele. Sites com certificado curinga têm um asterisco (*) e um ponto antes de seus nomes de domínio. Por exemplo, um domínio protegido por um certificado curinga é indicado por https://*.abc.com.br, onde o “*” pode ser qualquer um dos subdomínios de abc.com.br, como ajuda.abc.com.br, blog.abc.com.br etc.
Multidomínio e SAN
Um certificado protege vários domínios e subdomínios. Por exemplo. Um certificado SAN usado para proteger www.abc.com.br pode proteger www.abc.org, www.abc.co.us, blog.abc.com.br etc.
Com base no nível de garantia necessário
Já com base no nível de garantia necessário, temos outros três tipos diferentes de certificados.
Validação de domínio (DV)
Esses certificados TLS/SSL são os mais fáceis de obter. A URL de sites com certificados DV TLS/SSL terá apenas o HTTPS e o cadeado e não o nome da empresa. Portanto, não há como os visitantes verificarem se o site realmente pertence ao negócio que estão procurando, apesar do sinal de segurança. Os certificados DV TLS/SSL podem ser obtidos em minutos sem verificação de negócios.
Validação da organização (OV)
Os certificados OV TLS/SSL são usados por organizações que lidam com dados confidenciais de clientes. Sites com certificados OV TLS/SSL têm o nome da empresa na barra de endereços junto com HTTPS e o cadeado. Como esses certificados oferecem alta garantia, eles são fornecidos somente após o exame minucioso das CAs, são mais caros e podem levar mais tempo para serem emitidos.
Validação estendida (EV)
Os certificados EV TLS/SSL oferecem o mais alto nível de segurança. Para obter um certificado EV, a organização deve passar por uma verificação rigorosa pela CA, que inclui a verificação da existência física do negócio. Os sites com um certificado EV TLS/SSL têm o nome da organização, código do país e cadeado em verde. Esses certificados são mais caros e podem levar até 3 dias para serem emitidos.
Todos estes certificados são emitidos após a conclusão do DCV (Domain Control Validation), onde a organização tem que provar que o domínio para o qual está solicitando a certificação realmente lhe pertence.
Quais as vantagens de ter um SSL instalado no seu site?
SSL é um protocolo que garante que qualquer informação transmitida entre o navegador do visitante e o servidor do seu site seja convertida em códigos que nenhum terceiro possa decifrar.
Digamos que o Local A (navegador da Web do visitante) queira enviar dados confidenciais para o Local B (seu servidor do site). Com um certificado SSL, o Local A criptografa os dados com uma chave pública para garantir que apenas o destinatário pretendido possa lê-los. Uma vez que o Local B recebe os dados, ele pode descriptografá-los usando uma chave privada correspondente.
Qualquer dado criptografado com uma chave pública só pode ser descriptografado por uma chave privada e vice-versa. Isso garante que todos os dados transferidos entre o navegador do visitante e seu site permaneçam sempre confidenciais.
Por outro lado, um site sem um certificado SSL significa que os hackers podem facilmente espionar todas as comunicações. Sem o protocolo de segurança bloqueando-os, os cibercriminosos podem roubar informações de cartão de crédito e outros dados pessoais confidenciais. Se você possui uma loja de comércio eletrônico, site de associação ou qualquer site que exija que os usuários se registrem ou paguem, um certificado SSL é um recurso obrigatório.
Talvez você ache que não precisa de um porque só tem um site simples que não aceita pagamentos. Não é bem por aí. Ter um SSL agora também é um sinal de classificação, então o Google oferece um pequeno aumento de classificação como um incentivo adicional para a mudança. Mas, vamos detalhar um pouco mais sobre as vantagens de contar com um certificado SSL no seu site.
Segurança
O principal objetivo do certificado SSL é criptografar as informações para que possam ser lidas apenas pelos destinatários pretendidos. As informações que passam pela internet têm grandes chances de chegar às mãos de terceiros. Como o certificado SSL criptografa os dados, caracteres aleatórios são inseridos neles.
Mesmo que os intrusos consigam adquirir essas informações, eles não serão capazes de entendê-las. Assim, o SSL o torna ideal para proteger informações confidenciais, como IDs de usuário, senhas e números de cartão de crédito.
Autenticação
Como mencionado anteriormente, os dados viajam por várias partes na Internet. Portanto, tem maior tendência a ser acessado por terceiros não intencionais. O SSL garante que qualquer que seja a informação presente em seu site chegue ao servidor correto.
Para alcançar este SSL utiliza-se uma proteção conhecida como Certificado do Servidor.Este certificado de servidor garante que o provedor de certificado SSL seja confiável, agindo como um intermediário entre os navegadores e os servidores SSL.
Confiabilidade
Sempre que um certificado SSL é usado em um site, ele fornece verificação. Portanto, quando os visitantes visitam um site, isso fornece uma sensação de confiança de que esse site é legítimo e não falso. Geralmente, um site de autenticação SSL mostrará um cadeado verde na barra de endereços. Este bloqueio menciona que o site tomou medidas de segurança e confiáveis o suficiente para fazer transações.
Prevenção contra phishing
Ocasionalmente, os usuários podem receber e-mails de phishing (geralmente na forma de anúncios e afirmações de envio) que direcionam links para outro site. O único objetivo desses sites é coletar informações confidenciais, como detalhes do cartão de crédito.
No entanto, é quase impossível para esses sites obterem um certificado SSL autêntico. Quando os visitantes não notarem um certificado SSL, provavelmente não irão inserir nenhuma informação confidencial.
Pagamentos online
Todas as indústrias de cartões de pagamento exigem que os sites tenham um certificado SSL com criptografia de pelo menos 128 bits para aceitar pagamentos. Sem um certificado SSL adequado, os sites não poderão aceitar pagamentos de cartões de crédito.
SEO
O Google já anunciou que ter um certificado SSL é um dos fatores para aumentar as classificações dos mecanismos de pesquisa. O algoritmo é feito de tal forma que os sites com um certificado SSL terão uma classificação mais alta nas páginas de resultados do mecanismo de pesquisa (SERP). Quase todos os sites com classificação mais alta no Google possuem um certificado SSL.
Como comprar o SSL?
Não basta clicar em “comprar”, adicionar um certificado SSL ao seu carrinho e finalizar a compra. O software que você deseja proteger terá um procedimento de solicitação de certificado que precisará ser seguido à risca. Todos os fornecedores de certificados SSL respeitáveis têm instruções para gerar essa solicitação, portanto vale a pena lê-las com atenção. Antes disso, vale a pena seguir as dicas abaixo.
Entenda suas necessidades antes de comprar
A primeira etapa na compra de SSL é entender seus requisitos, desafios e lacunas de segurança. Esses insights permitirão que você escolha o certificado certo e garanta maior segurança do seu site e ativos digitais.
Conheça os tipos de certificado antes de comprar SSL
Todos os certificados SSL não são iguais. O tipo de certificado necessário varia de site para site. Para isso, você deve saber quais tipos de certificados existem — como explicamos acima — e quais se adéquam ao seu propósito.
Por exemplo, certificados SSL de domínio único são suficientes para pequenas empresas e blogs que precisam cobrir apenas um único domínio. Os certificados SSL de vários domínios são úteis quando você deseja gerenciar vários domínios com um único certificado. Você também deve considerar a garantia incluída no seu certificado antes de comprá-lo.
Escolha o nível de validação necessário para o seu site
Antes de emitir um certificado, a autoridade certificadora valida o destinatário do ponto de vista da segurança. Isso é para garantir que apenas proprietários e organizações legítimos estejam comprando o certificado SSL. Assim, a CA verificará provas e documentos para esse fim.
Escolha um provedor de certificado SSL confiável
Existem centenas de provedores de certificados SSL no mercado. Mas a escolha de qualquer provedor de serviços pode ser prejudicial à segurança e à continuidade dos negócios em si. Você deve escolher um Provedor de Certificado SSL confiável e de sólida reputação.
A CA deve estar equipada com uma infraestrutura sólida para evitar falhas. Eles devem investir em pesquisa e desenvolvimento para continuar encontrando abordagens de última geração em criptografia de dados, permitindo que você fique à frente dos invasores.
Escolha uma CA que forneça recursos de segurança adicionais, além de apenas SSL. Você também deve considerar o nível de suporte estendido na instalação, manutenção e gerenciamento de certificados.
Como instalar o certificado SSL no seu site?
Hoje, os certificados SSL são acessíveis para sites de todos os tamanhos. No entanto, se você não for experiente em tecnologia, obter e instalar o certificado em seu servidor pode ser complicado. É por isso que preparamos uma lista de verificação de instalação SSL fácil de seguir para ajudá-lo a proteger seu site rapidamente.
Obtenha o certificado SSL certo para o seu site
Seu site determina o tipo de certificado SSL que você precisa. Se você é uma empresa oficial, pode considerar um certificado de validação comercial ou estendida. Para blogs e sites pessoais, o SSL de validação de domínio será suficiente. Para proteger subdomínios, você precisa de um certificado curinga .
Gere o CSR e envie-o à CA
Para solicitar um certificado SSL, você precisa gerar uma Solicitação de Assinatura de Certificado (CSR) e enviá-la à CA para validação. A CA usará seu CSR para verificar sua identidade e emitir o certificado SSL.
O CSR é um bloco de texto codificado com suas informações de contato. Você pode gerá-lo diretamente em seu servidor ou usar uma ferramenta externa, como nosso CSR Decoder. No CSR, você precisa inserir o nome de domínio que deseja proteger, um endereço de e-mail válido e informações sobre seu país e empresa (para certificados BV e EV).
Junto com o CSR, você também gerará sua chave privada. Certifique-se de mantê-lo seguro e nunca compartilhá-lo com alguém em quem você não confia totalmente.
Prepare os arquivos SSL para instalação
Depois de passar no processo de validação de SSL, sua autoridade certificadora emitirá o certificado e enviará todos os arquivos de instalação necessários por e-mail. Você precisará baixar o arquivo ZIP e extrair seu conteúdo em seu dispositivo local.
Dependendo da sua CA, você pode receber os certificados em diferentes formatos de arquivo. Normalmente, o certificado SSL primário está no formato PEM, enquanto os certificados intermediário e raiz estão em um formato ca-bundle. Alguns servidores exigem apenas o certificado SSL primário, mas a maioria dos sistemas solicitará que você carregue os certificados primário e intermediário. Se você precisar converter seu certificado SSL em um formato diferente, este guia o ajudará.
Certifique-se de ter acesso ao seu servidor
Para instalar um certificado SSL, você precisa acessar a conta de hospedagem do seu servidor. A maioria dos servidores fornece um painel de controle com uma interface amigável para gerenciar o servidor. No entanto, em algumas plataformas, a única maneira de adicionar SSL é por meio de comandos SSH (secure shell). Se você não tiver acesso ao seu servidor ou não estiver familiarizado com os comandos do terminal, terá dificuldades com a instalação do SSL.
Instale o certificado SSL
Depois de ter todos os arquivos de instalação necessários prontos e acesso ao seu servidor, tudo o que você precisa fazer é carregar os arquivos SSL do seu dispositivo local para o servidor. A parte complicada é que cada servidor tem suas próprias regras e diretrizes de instalação quando se trata de SSL. Como não há um guia universal sobre como instalar seu certificado, você precisa seguir etapas específicas para sua plataforma específica.
Teste sua instalação SSL
Depois de instalar o certificado SSL, você deve verificá-lo em busca de possíveis erros e vulnerabilidades. Se você não instalar seu certificado da maneira correta, os navegadores exibirão um erro de conexão para os visitantes. Um erro SSL comum é um certificado intermediário ausente. Felizmente, existem ferramentas SSL especiais para ajudá-lo a identificar o problema exato. Eles fornecem varreduras instantâneas e relatórios detalhados em seu certificado.
Otimize seu site HTTPS para obter o melhor desempenho
Agora que seu site está seguro, é hora de adicionar os toques finais à sua migração HTTPS. Para otimizar a segurança e o desempenho de SEO, você precisa evitar conteúdo misto e forçar conexões HTTPS. Preparamos uma lista de verificação de SEO separada para ajudá-lo a otimizar seu site recém-criptografado.
Os certificados SSL são extremamente importantes para qualquer site. Ele gera confiança aos clientes, autentica a propriedade do site, fornece uma conexão segura para transferência de dados, aumenta os níveis de segurança para atender aos requisitos dos navegadores de Internet modernos, além de atender às conformidades para transações online. Tudo isso fornecerá uma vantagem substancial para qualquer empresa que tenha presença online.
Gostou deste guia e quer ter acesso exclusivo a outros conteúdos sobre tecnologia e gestão de sites diretamente no seu e-mail? Assine agora a nossa newsletter!