O que é um certificado SSL?

Um certificado SSL (ou certificado TLS) é um certificado digital que associa uma chave criptográfica aos detalhes da sua organização. Secure Sockets Layer (SSL) são protocolos criptográficos projetados para criptografar a comunicação entre um servidor e um navegador da web.

Embora os certificados SSL sejam instalados no lado do servidor, há dicas visuais no navegador que mostram a proteção SSL. Se o SSL estiver presente, você poderá ver https:// na barra de endereço, um cadeado, uma barra de endereço verde ou uma combinação dos três.

O SSL protege sua conexão com um servidor da Web e criptografa todos os dados transferidos.

A criptografia de dados reduz o risco de segurança cibernética de ataques man-in-the-middle ou muitas outras formas de ataque cibernético. Tradicionalmente, o SSL tem sido usado para proteger informações de cartão de crédito em sites de comércio eletrônico, transferência de dados pessoais e para proteger sites de mídia social.

Hoje, mecanismos de pesquisa como o Google exigem HTTPS em todos os lugares, mesmo que os sites não lidem com dados confidenciais ou informações confidenciais, como informações de identificação pessoal (PII). O HTTPS não apenas fornece segurança crítica de informações e integridade de dados, mas também é um requisito para muitos novos recursos do navegador da Web, como aplicativos da Web progressivos (PWAs).

O que é Transport Layer Security (TLS)?

O Transport Layer Security (TLS) é o sucessor do Secure Sockets Layer (SSL) e geralmente é referido entre si de forma intercambiável. Pense nisso como uma versão mais segura do SSL. Apesar dos novos certificados usarem TLS (RSA ou ECC), continua sendo comum que os certificados de segurança ainda sejam chamados de certificados SSL.

O TLS, como o SSL, fornece privacidade e integridade de dados entre dois ou mais aplicativos de comunicação. Quando protegidas por TLS, as conexões entre seu navegador e um servidor devem ter uma ou mais das seguintes propriedades:

• A conexão é protegida por criptografia simétrica. As chaves para criptografia simétrica são exclusivas para cada conexão, com base em uma pesquisa compartilhada que é negociada no início de uma sessão por meio de um handshake TLS. O servidor e seu navegador negociam os detalhes de qual algoritmo de criptografia e chaves criptográficas são usados antes que os dados sejam transmitidos. A negociação de um segredo compartilhado é segura (evitando espionagem) e confiável (nenhum invasor pode modificar mensagens sem ser detectado, evitar ataques man-in-the-middle).
• A identidade das partes comunicantes (por exemplo, você e UpGuard.com) pode ser autenticada usando criptografia de chave pública. As chaves públicas são amplamente disseminadas e as chaves privadas são conhecidas apenas pelo proprietário. Qualquer pessoa pode criptografar uma mensagem usando a chave pública do destinatário, mas apenas sua chave privada pode descriptografar. A autenticação pode ser opcional, mas geralmente é necessária para pelo menos uma das partes (normalmente o servidor).
• A conexão é confiável porque cada mensagem transmitida tem a integridade verificada usando um código de autenticação de mensagem (MAC), evitando perda ou manipulação de dados não detectada. Um MAC é uma pequena informação usada para confirmar que a mensagem veio do remetente declarado e não foi alterada. Isso protege a integridade e a autenticidade dos dados.

Além disso, a configuração do TLS pode fornecer benefícios adicionais relacionados à privacidade, como sigilo de encaminhamento. O sigilo de encaminhamento garante que a divulgação futura de chaves de sessões comprometa apenas uma sessão específica. Isso é obtido gerando uma chave exclusiva para cada sessão, de modo que o comprometimento de uma única chave de sessão não possa afetar os dados trocados em nenhuma outra sessão.

O que é o Hypertext Transfer Protocol Secure (HTTPS)?

Hypertext Transfer Protocol Secure (HTTPS) é uma extensão do Hypertext Transfer Protocol (HTTP). Ele é usado para transferir dados com segurança em uma rede. Em HTTPS, a comunicação é criptografada usando TLS.

O HTTPS fornece autenticado do site acessado, protegendo a privacidade e a integridade dos dados trocados. Ele também protege contra ataques man-in-the-middle, como espionagem e adulteração de dados transmitidos. Como o HTTPS pega carona no HTTP sobre o TLS, todo o protocolo HTTP é criptografado, incluindo o URL solicitado (a página específica solicitada), parâmetros de consulta, cabeçalhos e cookies (que geralmente contêm informações de identificação sobre o usuário).

A única coisa que os bisbilhoteiros podem ver é o endereço do site e os números das portas, que fazem parte dos protocolos TCP/IP e não são protegidos por HTTPS. Isso significa que um bisbilhoteiro pode inferir o endereço IP e o número da porta de um servidor da Web (o nome de domínio, mas não a página específica) com o qual você está se comunicando, bem como a quantidade de dados transferidos e o tempo da sessão.

Os navegadores da Web modernos sabem em quais sites HTTPS confiar com base nas autoridades de certificação pré-instaladas. Autoridades de certificados como Let's Encrypt são confiáveis para fornecer certificados válidos. Isso significa que as conexões HTTPS só são confiáveis se todos os itens a seguir forem verdadeiros:

• Você confia que seu navegador da Web implementa corretamente o HTTPS com autoridades de certificação válidas.
• Você confia que a autoridade de certificação só atestará sites legítimos.
• O site que você visita fornece um certificado válido assinado por uma autoridade de certificação confiável.
• O certificado SSL identifica corretamente o site e não outra entidade.
• Você confia que o SSL/TLS é suficiente para proteger contra bisbilhoteiros.

Saiba a diferença entre HTTP e HTTPS.

Por que um certificado SSL é importante?

A confiança do cliente é a base de qualquer negócio e as empresas baseadas na Internet não são exceção. Se sua empresa tem uma reputação de falta de confiabilidade, insegurança ou desonestidade, pode esperar ter dificuldade em vender seus produtos ou serviços. Inversamente, ser conhecida como uma marca confiável, segura e honesta ajudará a atrair clientes. Um certificado SSL é uma maneira de mostrar aos clientes atuais e potenciais que você se preocupa com a segurança deles.

Os consumidores estão sendo treinados para procurar a presença na tela do cadeado ou da barra verde que começa com https:// como um sinal de que podem confiar no site ao qual estão conectados.

Embora eles possam não entender a mecânica subjacente do SSL/TLS, eles entendem que ele protege suas informações confidenciais. Informações como números de cartão de crédito, senhas, números de telefone e qualquer outra informação pessoal que seus usuários finais não queiram que sejam expostas.

Não é suficiente proteger as informações confidenciais que você armazena contra violações e vazamentos de dados. Você também precisa proteger as informações em trânsito. E não é apenas com sua organização que você precisa se preocupar, garantir que seus fornecedores terceirizados tenham certificados SSL válidos pode reduzir o risco de terceiros e de terceiros e deve fazer parte dos programas de gerenciamento de risco de fornecedores, gerenciamento de riscos de terceiros, gerenciamento de risco de informações e avaliação de risco de segurança cibernética.

Como funcionam os certificados SSL?

O SSL opera entre o navegador do visitante e o site ou aplicativo. É um padrão do setor que garante que os dados sejam comunicados com segurança de e para o servidor, evitando ataques man-in-the-middle e espionagem.

Também evita a ameaça cibernética de invasores serem capazes de desviar o tráfego para seu próprio site (por meio de typosquatting ou outros meios) usando sua própria criptografia e roubando dados de clientes dessa maneira.

O SSL opera diretamente sobre o protocolo de controle de transmissão (TCP), permitindo que as camadas de protocolo superiores permaneçam inalteradas enquanto fornecem uma conexão segura.

Se um certificado SSL estiver configurado corretamente, os invasores só poderão ver o domínio e a porta aos quais você está conectado e quantos dados estão sendo transmitidos. Eles podem encerrar a conexão, mas o servidor e o usuário poderão ver que a conexão foi interrompida por terceiros.

Para ativar o SSL em seu domínio, você precisa instalar um certificado SSL em seu servidor. Quando um cliente visita seu site, o navegador dele se conecta ao seu servidor, verifica se há um certificado SSL válido e inicia a conexão SSL. Todos os dados serão criptografados antes de serem passados entre o navegador e o servidor.

O processo SSL pode ser dividido em quatro etapas:

1. Handshake SSL: o navegador da Web valida a presença de um certificado SSL em seu servidor.
2. O servidor envia certificado: As informações necessárias, incluindo o tipo de certificado SSL, nível de criptografia e muito mais, são enviadas ao navegador.
3. O usuário confirma a validade do certificado: o navegador da Web verifica se o certificado é de uma autoridade de certificação confiável e usa o mais alto nível de criptografia suportado por ambas as partes.
4. Integridade e autenticidade garantidas: Os protocolos SSL e TLS usam códigos de autenticação de mensagem (MAC) para garantir a integridade e autenticidade dos dados.

O que os certificados SSL fazem?

Os certificados SSL adicionam um nível adicional de segurança entre seu site e os visitantes, criando um link criptografado entre você e eles.

Isso fornece duas camadas de proteção:

1. Criptografia: Compartilhar informações online pode ser arriscado, muitas pessoas preferem fazer transações apenas com empresas que conhecem e confiam. Com um certificado SSL, os clientes sabem que seus dados confidenciais são criptografados e seguros. Os certificados SSL podem ter diferentes níveis de criptografia, mas o certificado SSL padrão pode ser suficiente para começar.
2. Verificação de identidade: Os certificados SSL identificam o proprietário do site e criam um nível adicional de confiança para os negócios online.

Tipos de certificados SSL

Existem três tipos diferentes de certificados SSL que oferecem três níveis de segurança para negociações SSL/TLS:

1. Certificado validado de domínio (DV): comprove a propriedade de um nome de domínio. A identidade da organização não é verificada, apenas que a pessoa que tem o certificado SSL também controla o nome de domínio. Este é o nível mais básico de certificado SSL e geralmente vem de graça com hospedagem. Normalmente leva de alguns minutos a alguns dias para receber. Também conhecido como certificado de validação de domínio.
2. Certificado validado pela organização (OV): comprove a propriedade do nome de domínio e forneça um nome de empresa registrado. Indivíduos que executam um site não receberão esse nível de certificado. Normalmente leva de algumas horas a dias para receber. Também conhecido como certificado de validação da organização.
3. Certificado de Validação Estendida (EV): nível mais alto de certificado SSL. Para obter um EV, você precisa ser capaz de validar sua empresa, nome de domínio e passar por etapas de verificação adicionais. Normalmente, leva de alguns dias a semanas para receber, mas ajuda muito a mostrar aos visitantes que você valoriza sua privacidade e proteção.

Além disso, os certificados SSL variam de acordo com o número de domínios ou subdomínios que precisam proteger:

• Certificados SSL de domínio único: protege um nome de domínio ou subdomínio.
• Certificados SSL curinga: Abrange um nome de domínio e um número ilimitado de subdomínios.
• Certificados SSL de vários domínios: protege vários nomes de domínio.

É necessário um certificado SSL?

Sim. Os consumidores são treinados para deixar sites sem um certificado SSL e com o Google usando HTTPS como fator de classificação, não há desculpa para não ter um. Outras razões importantes para ter um certificado SSL válido incluem:

• Melhorar a taxa de conversão: Os consumidores esperam o cadeado ao fazer compras online, sem ele você está perdendo receita.
• Melhorar a confiança do consumidor: se você coletar informações de identificação pessoal (PII), precisará de um certificado SSL. O impacto financeiro, reputacional e regulatório dos ataques cibernéticos nunca foi tão alto. Isso inclui sites que coletam e-mails.

Os certificados SSL afetam as classificações de pesquisa?

Sim, você pode aumentar suas classificações nos mecanismos de pesquisa e aumentar a confiança do usuário instalando o SSL em todo o site. O Google confirmou em 2014 que o HTTPS agora é um fator de classificação. A segurança é uma prioridade no Google e eles investem muito para garantir que seus serviços sejam seguros. Ao incentivar outros webmasters a usar o TLS, eles tornam a Internet mais segura de forma mais ampla.

Um certificado SSL fornecerá um pequeno aumento nas classificações, além de mostrar aos clientes atuais e futuros que sua organização se preocupa com a segurança da informação.

O que é um erro de conexão SSL?

Erros de conexão SSL ocorrem quando a página que está sendo acessada tem um problema de segurança. Eles ocorrem no navegador da web e protegem o usuário, interrompendo o acesso e informando-o de que há uma possível preocupação de segurança.

Os erros de conexão SSL assumem várias formas e diferem com base no navegador usado e no tipo de erro. Em alguns casos, o https:// pode ser destacado em vermelho em vez de verde. No Chrome, várias tomadas de página inteira interrompem a conexão com mensagens como "sua conexão não é privada" ou "esta página da web não está disponível".

Na maioria dos casos, os usuários podem decidir acessar o site de qualquer maneira, mas devem entender que ele não é tão seguro quanto normalmente é.

Os erros de conexão SSL ocorrem porque nenhum certificado SSL válido está instalado, um certificado expirado está instalado ou pode haver uma vulnerabilidade conhecida em seu certificado SSL. O site não está necessariamente fazendo nada malicioso ou tentando roubar suas informações.

Se o seu site estiver apresentando erros de conexão SSL, corrija-os imediatamente atualizando os protocolos de segurança em todo o site ou atualize/renove seu certificado SSL. Caso contrário, você corre o risco de perder tráfego e receita de clientes que não confiam em seu site inseguro.

O SSL funciona por e-mail?

A maioria dos provedores de e-mail ativa automaticamente a criptografia SSL por padrão. Para recuperar e-mails sinalizados como inseguros, talvez seja necessário desativá-los.

Se sua organização executa seu próprio serviço de e-mail, entre em contato com sua equipe de TI para verificar se seu provedor tem criptografia SSL.

Como adiciono um certificado SSL ao meu site?

A instalação de um certificado SSL dependerá de como e onde seu site está hospedado. A boa notícia é que geralmente há várias maneiras de adicionar um certificado SSL ao seu servidor. Em muitos casos, seu provedor de hospedagem adicionará automaticamente algum tipo de certificado SSL ao seu site, provavelmente um certificado validado por domínio (DV). Se sua organização precisar de um certificado SSL mais seguro, você precisará falar com seu provedor de hospedagem ou equipe de segurança de TI.

Perguntas frequentes sobre SSL

• O SSL é compatível com todos os dispositivos? Sim, os certificados SSL permanecem válidos em qualquer dispositivo. Lembre-se de que isso se aplica ao navegador da Web e não necessariamente aos navegadores da Web no aplicativo.
• O SSL funciona em todos os sistemas operacionais? Sim. A maioria dos sistemas operacionais oferece suporte a SSL/TLS, mas alguns sistemas operacionais mais antigos podem não oferecer suporte às versões mais recentes do TLS.
• Todos os navegadores suportam SSL? Sim. Todos os navegadores modernos suportam SSL. Se você usa Firefox, Safari, Google Chrome, Microsoft Edge, o SSL é compatível.
• Como posso saber se um site tem SSL? Verifique o https:// ou o ícone de cadeado na barra de endereço ou use esta ferramenta da DigiCert para verificar se o SSL está instalado corretamente.

Resumo SSL

Os certificados SSL são uma ferramenta importante para melhorar a segurança cibernética do seu site, garantir que os dados do cliente sejam protegidos e criar confiança. Os certificados SSL são uma necessidade e oferecem benefícios ao seu site, incluindo uma melhor posição no Google e em outros mecanismos de pesquisa.

Glossário SSL

• Criptografia de 256 bits: criptografar documento eletrônico ou comunicação usando um algoritmo cuja chave tem 256 bits de comprimento. Quanto mais longa a chave, mais forte a criptografia.
• Criptografia assimétrica: Também conhecida como criptografia de chave pública, usa chaves públicas e privadas para criptografar e descriptografar dados. As chaves são números grandes que estão emparelhados, mas não são idênticos (assimétricos).
• Solicitação de assinatura de certificado (CSR): Em sistemas de infraestrutura de chave pública (PKI), CSR é uma mensagem enviada de um solicitante a uma autoridade de certificação para solicitar um certificado de identidade digital. Geralmente contém a chave pública do certificado, informações de identificação (como nome de domínio) e proteção de integridade (por exemplo, uma assinatura digital).
• Autoridade de certificação (CA): uma autoridade de certificação é uma entidade que emite certificados digitais. Um certificado digital certifica a propriedade de uma chave pública pelo assunto nomeado do certificado. Ele permite que outros confiem em assinaturas digitais ou em afirmações feitas sobre a chave privada que corresponde à chave pública. As CAs atuam como um terceiro confiável, confiável tanto pelo proprietário do certificado quanto pela parte que depende do certificado.
• Pacote de criptografia: um conjunto de algoritmos para proteger uma conexão de rede que usa Transport Layer Security (TLS) ou seu antecessor obsoleto, Secure Socket Layer (SSL). Os conjuntos de criptografia geralmente incluem um algoritmo de troca de chaves, um algoritmo de criptografia em massa e um algoritmo de código de autenticação de mensagem (MAC).
• Nome Comum (CN): Também conhecido como Nome de Domínio Totalmente Qualificado (FQDN), é o nome do servidor protegido por um certificado SSL.
• Erro de conexão: Um erro que ocorre ao tentar se conectar a um site habilitado para SSL e seu navegador não consegue fazer uma conexão segura com o servidor.
• Certificado SSL validado por domínio (DV): um certificado digital usado para Transport Layer Security (TLS) em que o nome de domínio do solicitante foi validado comprovando o controle sobre o domínio.
• Criptografia de Curva Elíptica (ECC): Uma abordagem à criptografia assimétrica baseada na estrutura algébrica de curvas elípticas sobre campos finitos. As chaves de criptografia são baseadas no uso de pontos em uma curva para criar o par de chaves pública/privada, tornando-o incrivelmente difícil de quebrar usando força bruta.
• Criptografia: O processo de codificar uma mensagem ou informação para que apenas partes autorizadas possam acessá-la.
• Certificado SSL Validado Estendido (EV): Um certificado digital que comprova a entidade legal do proprietário e é assinado por uma chave de Autoridade de Certificação que pode emitir certificados EV.
• Troca de chaves: Também conhecido como estabelecimento de chaves, é um método de criptografia em que as chaves criptográficas são trocadas entre duas partes, permitindo o uso de um algoritmo criptográfico.
• Segredo mestre: usado para gerar chaves de criptografia, segredos MAC e vetores de inicialização.
• Código de autenticação de mensagem (MAC): Uma pequena informação usada para autenticar uma mensagem, permitindo a confirmação de que a mensagem veio do remetente declarado e não foi alterada.
• Certificado SSL de validação da organização (OV): certificações SSL que são estritamente autenticadas em bancos de dados de registro de empresas hospedados pelo governo e propriedade do domínio.
• Segredo pré-mestre: usado para criar o segredo mestre.
• Infraestrutura de chave pública (PKI): Um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, armazenar, usar e revogar certificados digitais e criptografia de chave pública.
• Servidor seguro: Um servidor protegido por SSL ou TLS.
• Certificado SSL SAN (Nome Alternativo do Assunto): um certificado SSL que permite aos usuários especificar nomes de host adicionais em um único certificado SSL usando a extensão SAN.
• Secure Sockets Layer (SSL): Um protocolo obsoleto para estabelecer um link criptografado entre um servidor web e um navegador.
• Certificado SSL: Permite autenticar entre um servidor e um navegador da web, bem como criptografar os dados transmitidos entre os dois.
• Handshake SSL: fornece privacidade e integridade de dados para comunicação entre um servidor e um cliente.
• Criptografia simétrica: uma forma de criptografia em que a criptografia e a descriptografia são feitas com uma chave (uma chave secreta).
• Transport Layer Security (TLS): Um protocolo criptográfico projetado para fornecer uma conexão segura entre um servidor web e um navegador web.
• Protocolo de controle de transmissão (TCP): Um dos principais protocolos do conjunto de protocolos da Internet, o TCP fornece entrega confiável, ordenada e verificada por erros de um fluxo de bytes entre aplicativos executados em hosts que se comunicam por meio de uma rede IP.
• Certificado SSL curinga: um certificado SSL que pode ser usado com seu domínio e vários subdomínios.

O UpGuard ajuda empresas como Intercontinental Exchange, Taylor Fry, Bolsa de Valores de Nova York, IAG, First State Super, Akamai, Morningstar e NASA a proteger seus dados e evitar violações de dados.

Se sua organização tem um domínio ou milhares, nossa plataforma pode monitorar os sites da sua organização quanto à disponibilidade de SSL, SSLs expirados, nomes de host correspondentes a certificados SSL e algoritmos SSL fortes. O UpGuard BreachSight também pode ajudar a combater o typosquatting, evitar violações e vazamentos de dados, evitar multas regulatórias e proteger a confiança de seus clientes por meio de classificações de segurança cibernética e detecção contínua de exposição.