Muitos de nós provavelmente notamos várias marcações relacionadas à segurança nos navegadores’ barras de endereço, mas a nossa compreensão do que tudo isso significava permaneceu vaga. Essas coisas são um ícone de cadeado fechado, destaque verde e amarelo do link, e, se algo estiver errado, vemos um ícone de cadeado aberto, HTTPS cruzado no início do endereço da web, e destaque vermelho. Todos os sinais mencionados estão relacionados com Certificados SSL. O que são e por que os sites modernos precisam deles são os tópicos deste post.
O que é certificado SSL, Como funciona
SSL significa Secure Sockets Layer. É um protocolo criptográfico para conexões seguras. O 3.0 versão do SSL é chamada Transport Layer Security, mas todo mundo ainda usa o antigo nome do protocolo. Quando dizemos SSL, queremos dizer TLS. O protocolo foi criado para manter a transferência segura de dados. A combinação de métodos de criptografia assimétrica e simétrica torna impossível hackear uma conexão protegida por SSL em um tempo razoável. Então, como é que um Certificado SSL trabalhar?
Por que precisamos de certificados SSL?
A criptografia SSL é necessária para descartar a interceptação de dados por hackers. Tal ataque é chamado homem no meio1. Se os malfeitores tiverem sucesso nisso, eles podem roubar dados confidenciais que compartilhamos com sites. No entanto, graças ao SSL, se até mesmo os hackers obtiverem os dados transferidos ao longo do caminho, eles terão que decodificá-lo, que os levará eras. No entanto, isso não é suficiente porque hackers e golpistas podem falsificar sites conhecidos ou atrair usuários para suas próprias páginas, enganando-os apresentando chaves públicas falsas (necessário para o procedimento de autenticação SSL.) Para resolver isso, um certificado assinado digitalmente emitido para um site garante a segurança do próprio domínio.
O que é uma autoridade certificadora?
Certificado SSL é o subsídio baseado em confiança para participar nas comunicações seguras do mundo moderno. É emitido para sites confiáveis por autoridades confiáveis chamadas Autoridades de Certificação. Quanto mais caro for o certificado, mais confiança ele apresenta e mais demoram as verificações preliminares. Existem muitas CAs no mundo, e eles emitem milhões de certificados por ano. A assinatura digital da autoridade garante a Certificados SSL isso emite.
Como funcionam os certificados SSL?
O servidor equipado com um certificado possui um arquivo de dados que o navegador solicita quando você tenta acessar o site. O certificado contém as seguintes informações: o nome de domínio para o qual foi criado, a pessoa, organização, ou dispositivo para o qual foi emitido, o nome da Autoridade Certificadora, sua assinatura digital, lista de subdomínios associados, data de emissão e validade do certificado, a chave de criptografia pública. Há um pouco mais nisso, mas os itens listados são os mais importantes.
“Aperto de mão” procedimento
O procedimento de troca de dados entre o cliente (navegador) e o servidor equipado com um Certificado SSL é chamado de “aperto de mão.” Demora menos de um segundo para realizar esta operação, mas é difícil superestimar sua importância. Tudo acontece em várias etapas, começando com um navegador enviando sua solicitação ao servidor. O servidor envia uma cópia de seu certificado ao cliente; se o certificado for satisfatório, o navegador envia uma resposta respectiva estabelecendo uma conexão criptografada segura depois disso. A questão é que o procedimento de autenticação usa criptografia assimétrica para iniciar a criptografia simétrica válida apenas para a sessão atual.
Para não deixar sua curiosidade insatisfeita, mencionaremos brevemente alguns recursos de criptografia assimétrica. Normalmente (simétrico) criptografia, ambas as partes têm a mesma chave secreta. Se os malfeitores obtiverem esta chave, eles podem ler facilmente qualquer mensagem interceptada. A criptografia assimétrica funciona de outra forma. Opera com chave pública, usado para criptografar mensagens, e uma chave privada (nunca compartilhou) usado para decodificação de mensagens2. Para simplificar, podemos dizer que o navegador e o servidor trocam cadeados que não precisam de chave para trancar, mas eles não compartilham chaves. Mesmo que os hackers consigam de alguma forma a mensagem criptografada (cadeado), levará quatrilhões de anos para eles decifrá-lo. Na última etapa da autenticação de handshake, o servidor e o cliente trocam uma chave secreta gerada exclusivamente para a sessão atual. Isso permite que eles mudem para criptografia simétrica, que é muito mais rápido.
Tipos de certificados
O certificado SSLs podem fornecer diferentes níveis de confiança, e seu preço difere em relação a isso (60$ por ano em média, mas centenas de dólares para as opções mais caras.) Os principais tipos de certificados são os seguintes:
Validação Estendida (VE)
Esses certificados são os mais caros. Eles fornecem o mais alto nível de confiança, e são essenciais para sites que coletam usuários’ dados e receber ou direcionar pagamentos online. O certificado EV requer o procedimento de verificação mais longo e completo antes de ser emitido. Quando o site tem um EV Certificado SSL, sua barra de endereço contém HTTPS, mas também o nome da empresa e o país são mostrados. O ícone do cadeado também está lá, claro.
Organização validada (AV)
Este certificado é o segundo mais caro. Suas características são basicamente as mesmas dos EVs, mas a OV se concentra em fornecer a criptografia necessária sem tanta ênfase no prestígio e na apresentabilidade.
Domínio validado (DVD)
DV é o tipo de certificado mais barato. Basta que o proprietário do site atenda um telefonema ou um e-mail para concluir o procedimento de validação. No entanto, O DV só é suficiente para sites que não coletam informações nem envolvem pagamentos. A criptografia fornecida aqui é a mais fraca. A barra de endereço recebe apenas cadeado e marcação HTTPS.
Curinga
Este tipo de certificado é usado quando o proprietário do site deseja proteger um domínio e um número ilimitado de subdomínios. Por exemplo, o domínio pode ser website.com e seus subdomínios help.website.com, blog.website.com, ou loja.website.com. Um certificado Wildcard cobrirá todos eles.
Certificado Multi-Domínio (CDM)
Este certificado permite que seus usuários protejam diferentes domínios e subdomínios. É como um curinga, mas a lista de sites protegidos não se limita aos subdomínios de um domínio! O cliente pode proteger uma lista de sites e subdomínios virtualmente aleatórios.
Certificado de Comunicações Unificadas (UCC)
UCC é um certificado muito confiável, dando um destaque verde na barra de endereço para seus proprietários’ sites. Possui um recurso de vários domínios e criptografia forte. UCC é muito respeitado, compartilhando um nível de confiança com os certificados EV.
Expiração do certificado
Certificados SSL são projetados para expirar. Isso ocorre porque o certificado não é o serviço de criptografia que ele fornece sozinho, mas a correspondência de muitos dados sobre a empresa com fatos sobre ela. Esta correspondência é o que permite a estas autoridades emitir e manter os certificados. Como tudo pode mudar rapidamente no mundo dos negócios, e sites podem mudar de proprietário, propriedades, e até mesmo o que eles fazem, Certificados SSL requer renovação regular. O período de validade de um certificado é de cerca de dois anos, mas os requisitos ficam mais severos a cada ano. As vozes já são ouvidas para que os certificados não durem mais de um ano.
Ameaças relacionadas e como evitar
Mais cedo, HTTPS era um sinal confiável do status de segurança de qualquer site. Ataques de phishing costumava ser facilmente exposto com base na ausência do Certificado SSL em sites relacionados a fraudes.
Por algum tempo agora, os golpistas levaram o phishing a um novo nível. Agora eles conseguem usar sites certificados 3 em seus esquemas. Portanto, ver a marcação HTTPS e se acalmar é a abordagem de ontem. Para evitar ser vítima de phishing, você precisa verificar se há falsificação em qualquer site.
- Seguir Internet security rules. Nunca abra anexos de e-mail suspeitos. O mesmo vale para links. Se você receber uma notificação de que duvida da autenticidade de, entrar em contato com o serviço que o remetente afirma ser por meio de outro canal de comunicação. Tente ligar para eles, por exemplo.
- Use a razão e a intuição. Se em breve será impossível confiar em certificados, seja razoável. Não se deixe enganar pela publicidade, onde eles prometem algo muito bom, muito barato, e até rápido. Fique atento se supostamente você recebeu um pacote, embora você não esperasse. E, claro, é improvável que seu primo em segundo grau seja o Príncipe de Brunei no exílio, que legou toda a sua fortuna para você.
- Verifique novamente se há links de sites e endereços de e-mail falsificados. Eles podem ser muito semelhantes aos autênticos, diferindo em uma letra, mas o objetivo dos malfeitores é pegar você furtivamente quando você não estiver em guarda.
- Para se proteger contra malware caso o ataque de phishing ainda aconteça, instale um programa antivírus confiável. Antimalware GridinSoft é uma das soluções mais eficazes e versáteis do mercado. Ele avisa sobre sites perigosos caso você esteja tentando acessá-los e limpa imediatamente o malware, se um ataque de phishing bem-sucedido envolver a infecção da máquina da vítima.
- Um dos exemplos bem conhecidos de MitM é Kazakhstan’s attempt to launch an SSL certificate que permitiria a espionagem a nível governamental. Google, Mozilla, e a Microsoft rejeitou o certificado.
- Tal maravilha criptográfica é possível em virtude das características do funções matemáticas unidirecionais. Isso é difícil de reverter, o que significa caro em termos de computação. Também, o funções de alçapão são importantes. Estas são funções unidirecionais que permitem a inversão se um adicional “alçapão” o valor é dado. A chave privada desempenha o papel deste “alçapão” em criptografia assimétrica.
- As estatísticas sobre o assunto eram alarmantes back in 2020 já.
