Cada vez mais, a preocupação com aspectos de segurança se torna contínua na vida do empreendedor do virtual. Afinal, uma invasão ou vazamento pode jogar fora todo o trabalho para o qual tanto se dedicou. Por isso, hoje conversaremos sobre um ponto de partida ao responder a pergunta: "Certificado SSL: por que usar?"
Então, vamos lá?
O que é um certificado SSL?
O certificado SSL é um recurso básico de segurança que atua na proteção das informações dos usuários que navegam pelo seu site através de criptografia. Eu disse básico porque já é um padrão do mercado e ele, por si só, não garante a segurança do site.
SSL é um acrônimo em inglês que significa "Secure Sockets Layer" ou "camada de soquete seguro", no bom português. Essa tecnologia serve para, basicamente, embaralhar as informações transitadas entre dois pontos através da criptografia.
Lembra da língua do P? É o mesmo princípio, só que super high-tech e muito mais seguro. Portanto, somente os participantes daquela comunicação, que detém os pares de chaves de descriptografia, conseguem fazer sentido daquela informação.
Tudo se inicia com o "handshake SSL", nome dado ao procedimento que fixa as chaves secretas desta comunicação.
Depois, o navegador reconhece que o certificado SSL que o servidor daquele site utiliza é confiável, enviando uma solicitação de início, para a qual o servidor responde com uma confirmação assinada digitalmente que dá início à sessão criptografada.
Posteriormente, se o certificado for autêntico, a conexão continua. Todavia, se há alguma irregularidade, é exibida uma página de perigo, na qual o visitante escolhe encerrar ou continuar mesmo diante do alerta.
Antes, poderia ocorrer a mudança da cor da barra de endereço para verde ou aparecer um cadeado fechado, mas os navegadores encerraram essas práticas tendo em vista que o certificado SSL, sozinho, não garante que um site é seguro.
Tipos de Certificados SSL
Embora o objetivo seja um só, há algumas maneiras de atingi-lo. Abaixo, você conseguirá identificar qual dos tipos de certificado SSL se adequa melhor à demanda do seu site.
Validação de Domínio (DV)
Apenas o direito de usar determinado nome do domínio é verificada, uma vez que não se solicita mais informações da empresa que o pleiteia;
muito popular em virtude do Let's Encrypt SSL, que oferta o certificado sem custo, o que democratizou e desmistificou as barreiras do mercado de SSL;
é uma opção mais acessível e com uma validação mais rápida, um dos mais usados devido à facilidade de emissão.
Validação da Organização (OV)
A responsável pela emissão do certificado realiza certas verificações na empresa requerente e as exibe para os usuários quando os mesmos clicam em detalhes do certificado SSL;
há checagem no que tange o direito de usar o nome do domínio;
costuma ser a escolha final embasada em critérios de observância aos pré-requisitos de políticas empresarias, como para atender demandas de certificações específicas, por exemplo.
Validação Estendida (EV)
Dificulta fraudes e passa por uma verificação completa diante da Autoridade Certificadora que o emite;
como os demais, averígua o direito de usar o nome daquele domínio;
comum em sistemas empresariais de missão critica, como na rede interna dos participantes do PIX ou do OpenBanking, por exemplo, já que se mostra muito vantajoso por conta de suas características de validação mais rígidas;
é o menos popular devido à burocracia para se obter o certificado e altos custos.
Wildcard SSL (Validação Curinga)
Para entender esta modalidade e a seguinte, você precisa saber claramente o que é um subdomínio.
Subdomínios são endereços que fazem parte do domínio principal, como uma ramificação. Utilizando parte do endereço principal com o acréscimo de uma palavra. Exemplo de um domínio é goinfinite.net e de subdomínio é este blog, blog.goinfinite.net.
Sigamos com as características:
Protege todos os subdomínios de um determinado domínio, por exemplo: /*.goinfinite.net.
pode ser utilizado na Validação de Domínio (DV) e na Validação de Organização (OV);
uma vez que a proteção é vinculada ao domínio principal, se ele for afetado todos os outros serão, como no caso do vazamento da chave privada do certificado, exemplificando;
é um dos certificados pagos mais utilizados por conta do custo-benefício, uma vez que não é necessário emitir 1 SSL pra cada subdomínio;
muito comum para quem hospeda diversos tipos de sistemas em um mesmo domínio.
Validação de múltiplos domínios (SAN)
Protege até 100 diversos nomes de domínios, subdomínios e endereços de IP em um mesmo certificado SSL;
é, essencialmente, um SSL multi-site, o qual pode ser usado para vários subdomínios, mas, também, para mais de um domínio, subdomínios de segundo, terceiro, quarto, etc, nível e endereços de IP;
se diferencia do Wildcard SLL porque protege apenas alguns subdomínios, mas também subdomínios de subdomínios, endereços de IPs, etc, pois não se limita ao domínio principal, diferentemente do anterior.
Por que usar um certificado SSL?
Com a Lei Geral de Proteção de Dados (LGPD), o vazamento de informações não fere apenas moralmente o seu negócio, mas pode ter prejuízos que chegam a 50 milhões de reais, sobretudo se considerarmos um site com o compartilhamento de dados bancários e/ou dados sensíveis. Você pode saber mais em outro post aqui do nosso blog.
Como já falamos anteriormente, só o Certificado SSL não é suficiente para proteger o seu site contra invasões e ataques. Para isso, um WAF profissional é indispensável, mas, certamente, já é um passo dentro das boas práticas.
Por acaso, se o seu CMS for o WordPress, nós temos várias dicas de como deixá-lo mais seguro aqui.
Outrossim, já é corriqueiro entre as operadoras de cartão e gateways de frete permitirem a sua integração somente em sites que possuem um certificado SSL. Realmente, o selo é o básico do básico.
Por fim, ainda que não garanta a veracidade do site ou o torne "inhackeável", ter um certificado SSL vai possibilitar o seu acesso aos diversos recursos disponíveis no mercado. Além disso, também pode trazer ganhos de SEO já que o uso de SSL é um fator de ranqueamento em buscadores.
Se você é cliente Infinite, você não precisa se preocupar, pois, há anos, a gente já instala automaticamente um certificado SSL válido para todos os sites hospedados conosco.
Mas, se ainda não é, há diversas opções de certificados, dos gratuitos aos pagos: você só não pode deixar de utilizá-los. Combinado?
Estamos disponíveis caso tenha alguma dúvida! É só deixar nos comentários!
