O que é o SSL?
O protocolo SSL (Secure Sockets Layer) cria uma ligação encriptada entre um navegador e um servidor web, de modo que todos os dados a circular entre os dois permaneçam confidenciais. O protocolo SSL é o predecessor do protocolo TLS (Transport Layer Security), mas o SSL ainda é mais amplamente conhecido e usado hoje em dia.
O que significa «Secure Sockets Layer» e porque é importante?
Em primeiro lugar, é importante compreender o que aconteceu antes da introdução do protocolo SSL em 1995. Anteriormente, quando o navegador de um cliente estava ligado ao servidor de uma empresa, todos os dados eram transmitidos em texto simples. Isto significava que, se um agente malicioso conseguisse intercetar os dados em trânsito, poderia lê-los – incluindo os dados dos cartões de crédito e outras informações pessoais sensíveis. Este tipo de pirataria era conhecido como «ataque do intermediário».
Para remover este «intermediário» de forma permanente, nos anos 90 o programador de navegadores Netscape criou o protocolo de segurança Secure Sockets Layer. A Netscape estava determinada em criar um protocolo que garantisse a privacidade e a integridade dos dados, assim como um processo de autenticação fiável tanto para o utilizador do navegador como para o proprietário do servidor, ou seja, o cliente e a empresa.
E teve sucesso, com a adoção do protocolo SSL por empresas de todo o mundo, decididas a proteger as interações com os seus clientes. E quanto ao «intermediário»? Se conseguir intercetar os dados transmitidos, a Secure Sockets Layer assegura que ele não veja mais do que uma massa confusa de caracteres.
Qual é a diferença entre SSL e TLS?
Para a maioria das pessoas, não é muita. Em 1999, o Transport Layer Security (TLS) foi introduzida para substituir a encriptação SSL, oferecendo características de segurança atualizadas, incluindo a resolução de vulnerabilidades SSL a determinados ataques, a introdução de melhores algoritmos de encriptação, etc. Embora qualquer dispositivo use agora o TLS (tecnicamente, a encriptação SSL não está mais disponível), o moniker SSL ainda é usado pela maioria do mundo informático e dos fornecedores de certificação. Isto porque o SSL se tornou uma parte essencial da segurança dos dados, e é por isso que estamos a usar SSL neste post e nas páginas dos nossos produtos.
Como saber se um site está protegido pela encriptação SSL?
Há duas referências principais para o que é um SSL. O primeiro é um ícone de cadeado na barra do endereço do navegador, geralmente à esquerda. Clique nele e ser-lhe-ão apresentadas informações sobre a versão do certificado SSL do site, incluindo a opção de visualizar o próprio certificado Secure Sockets Layer. Também poderá consultar a data de expiração do certificado. Se estiver desatualizado, o protocolo SSL não será ativado, pelo que os utilizadores devem abandonar o site imediatamente. Em segundo lugar, em vez de haver «http://» no início do endereço web, verá «https://». O «s» a mais indica que o protocolo SSL está presente e a ligação é segura.
Como funciona o protocolo SSL?
Para garantir autenticidade, o Secure Sockets Layer cria um processo de «apresentação» entre o navegador e o servidor quando se tenta uma ligação. Este processo divide-se em seis etapas:
1. Olá do cliente
O cliente utiliza o seu navegador para tentar estabelecer uma ligação com o servidor SSL do site da empresa. Antes de efetuar qualquer ligação, o navegador pede primeiro que o servidor se identifique. Na verdade, o cliente está a dizer olá.
2. Olá do servidor
Para se identificar junto do navegador, o site envia detalhes do seu certificado SSL e a chave pública do seu servidor. Este é o modo de o servidor dizer olá.
3. Verificação do certificado
O navegador do site valida automaticamente este certificado em relação a uma lista de autoridades de certificação Secure Sockets Layer fidedignas, de modo a verificar o certificado SSL.
4. Chave de sessão
Se a verificação do certificado SSL for bem-sucedida, o navegador sabe que o servidor é confiável. Então, cria uma chave de sessão simétrica através da chave pública do servidor, que é enviada ao servidor.
5. Desencriptação da chave
O servidor do site recebe a chave de sessão e desencripta-a antes de enviar uma confirmação, que também é encriptada com a chave de sessão do cliente.
6. Início da sessão
Com as «apresentações» agora concluídas, a sessão pode oficialmente começar com movimentos de dados entre o navegador do cliente e o servidor da empresa, agora encriptado graças ao SSL.
Porque é que um SSL é tão importante para as empresas?
Uma palavra: confiança. Indica aos clientes que a empresa encara a segurança dos dados com a máxima seriedade. Por sua vez, esta medida fomenta a confiança dos clientes e aumenta as possibilidades de estes efetuarem uma encomenda. Dito de outra forma, se uma empresa não dispõe de uma certificação, isso indica ao cliente que os seus receios e preocupações sobre a segurança online não são importantes para a empresa. Não é a imagem que uma organização gostaria de passar.
A certificação de segurança SSL também proporciona tranquilidade às empresas. O protocolo SSL reduz significativamente a possibilidade de ocorrência de violações de dados, bem como reduz as oportunidades de acesso por parte de utilizadores não autorizados através de tentativas de pirataria, como ataques de phishing.
Os fornecedores de motores de busca, como a Google, também consideram importante a existência de um Secure Sockets Layer, pelo que podem levar as organizações mais seguras a subir no ranking das pesquisas. E depois há os protocolos comerciais e regulatórios. Por exemplo, se uma empresa permitir que os pagamentos por cartão de crédito sejam efetuados no seu site, a certificação SSL é necessária para cumprir as normas de segurança da indústria (conhecidas como Payment Card Industry Compliance).
Certos territórios possuem também regulamentações que exigem que as empresas tenham em vigor medidas adequadas de segurança de dados. A ausência destas medidas deixa a empresa vulnerável a potenciais ações judiciais, além de multas. Isto é, a segurança SSL e o protocolo SSL são vitais na era do comércio eletrónico. Sem o suporte SSL, uma organização fica exposta a um conjunto de riscos financeiros, de segurança e de reputação.
Quais são os diferentes tipos de SSL?
Uma vez respondida a pergunta «O que significa SSL?», é hora de explorar os seus tipos. Há diferentes certificados SSL disponíveis, em função da natureza e das necessidades da empresa. Cada oferta Secure Sockets Layer requer que a empresa passe por um processo de validação, para verificar se é proprietária do domínio e, em alguns casos, fornecer detalhes completos sobre a sua organização. Os tipos de certificação incluem:
Certificado SSL de Validação Alargada
Esta versão de Secure Sockets Layer é essencial para qualquer empresa que pretenda destacar a legitimidade do seu site para aumentar a confiança dos visitantes. A fim de obter um certificado, a organização deverá passar por um processo de validação que comprove que possui o domínio que pretende certificar. Este certificado SSL seguro é crucial para qualquer empresa que pretenda realizar processos financeiros no seu site ou recolher dados altamente sensíveis.
Certificado SSL Validado pela Organização
Esta forma de Secure Sockets Layer não é adequada para transações financeiras, sendo antes utilizada para encriptar os dados de atividade do utilizador que se deslocam entre o servidor e o navegador.
Certificado SSL para Validação de Domínio
Esta versão do certificado Secure Sockets Layer só oferece uma encriptação de baixo nível e, como não se sabe quem ou o quê está a receber os seus dados encriptados, trata-se de uma oferta básica adequada apenas a blogues e sites pessoais. Quem requer excelentes níveis de encriptação SSL deve procurar outro tipo.
Certificado SSL de Validação de Caráter Universal
Este Secure Sockets Layer permite à empresa utilizar o mesmo certificado de protocolo SSL que adquiriu para o respetivo domínio em todos os subdomínios. Trata-se de uma alternativa mais económica do que a aquisição de um certificado para cada subdomínio.
Certificado SSL de Comunicações Unificadas
Esta versão do Secure Sockets Layer fornece a certificação SSL a vários domínios pertencentes a uma organização. Até 100 domínios podem ser cobertos com um único certificado.
Como obter um certificado SSL?
Para garantir um certificado SSL para uma organização, utilize o seguinte processo para assegurar um bom resultado:
- Escolha a versão do certificado SSL desejada. Conforme explicado anteriormente, os diferentes certificados respondem a necessidades específicas. É essencial compreender o que é a encriptação SSL e conhecer a definição de SSL antes de fazer uma escolha.
- Obter um par de chaves privadas e públicas. Elas podem ser geradas no seu servidor. As chaves são necessárias no âmbito de uma solicitação de assinatura de certificado (certificate signing request, CSR), a qual é utilizada para dar início ao processo de certificação do Secure Sockets Layer. Geralmente, o CSR contém o nome da empresa, a sua localização, o seu tipo e a sua dimensão, bem como o seu nome de domínio.
- Envie o CSR para uma autoridade de certificação (AC), assegurando-se de que escolhe uma que seja publicamente fidedigna. Uma vez obtido, siga as instruções da AC para instalar o novo certificado Secure Sockets Layer no servidor. Isto incluirá o upload e o teste do certificado. Depois disso, o processo está concluído.
- Lembre-se de que, independentemente da versão, todos os certificados SSL têm datas de expiração. Por isso, averigue quando expira o seu. Se se descuidar, os seus clientes poderão receber avisos de segurança nos navegadores indicando que o seu site não é seguro, afetando os níveis de confiança.
OVHcloud e SSL
A segurança na cloud é vital. É por isso que oferecemos um acesso fácil e processos de validação simplificados para todos os seus requisitos de protocolo SSL. Além disso, podemos recomendar-lhe a oferta SSL mais adaptada às suas necessidades específicas. A OVHcloud oferece aos seus clientes outras funcionalidades de segurança essenciais, garantindo que beneficiam dos processos de ciberproteção mais recentes para cada parte da sua organização.
