Em quem confiar: os diferentes tipos de certificados SSL

Explicamos o que são certificados digitais, que tipos existem e quais os problemas associados a eles.

Uma conexão segura é encriptada e, portanto, está protegida; uma não segura, não está. Fácil, certo? Mas de onde vêm os certificados e qual a diferença entre SSL e TLS? O que um certificado digital tem a ver com segurança, afinal?

Aqui, tentaremos responder algumas dessas dúvidas e outras questões relacionadas. Para começar, vamos analisar o que significam as siglas HTTP e HTTPS na barra de endereço do seu navegador.

HTTP e HTTPS para transferência de dados

Quando um usuário lê ou insere dados online em um site, essa informação é trocada entre o seu computador e o servidor no qual a página está hospedada. O processo é guiado por um protocolo de transferência de dados chamado HTTP (HyperText Transfer Protocol).

O HTTP também tem uma extensão chamada HTTPS (HyperText Transfer Protocol Secure): uma versão segura que usa criptografia para transferir informação entre o cliente e o servidor – o que significa que esses dados estão disponíveis apenas para eles, e não para terceiros (como um provedor ou administrador de WiFi).

Os dados transmitidos, por sua vez, serão encriptados com o próprio protocolo criptográfico do servidor. O primeiro protocolo desse tipo utilizado para esse fim foi o SSL (Secure Sockets Layer). Surgiram várias versões do SSL e todas, em algum momento, esbarraram em problemas de segurança. Em seguida, apareceu uma versão renovada e com outro nome – o TLS (Transport Layer Security), utilizado até hoje. No entanto, a sigla SSL pegou, e o novo protocolo ainda é geralmente chamado pelo nome antigo.

Para usar criptografia, um site precisa ter um certificado digital – também chamado de assinatura digital – confirmando que o mecanismo de criptografia é confiável e está em conformidade com o protocolo. Além da letra S em HTTPS, outro indicador de que a página possui certificação está na barra de endereço do navegador, que mostra um pequeno cadeado verde (ou escudo, em algumas versões) ao lado da palavra Seguro ou do nome da empresa. Você pode conferir, nesse exato momento, como isso é representado olhando para o topo da sua janela; todos os sites da Kaspersky Lab usam HTTPS.

Como um site adquire um certificado SSL?

Há duas maneiras de obter uma certificação digital. Uma delas é: um webmaster (ou administrador de site) pode emitir e assinar o certificado e gerar chaves criptográficas. Nesses chamados certificados autoassinados, ao tentarem acessar a página os usuários recebem um aviso de que o certificado não é confiável.

Nesses sites, a janela do navegador mostra um cadeado cruzado ou um escudo vermelho, as palavras Não seguro, e as letras HTTPS em vermelho e, ou então riscadas na barra de endereço e destacadas na cor vermelha – varia entre os navegadores e até mesmo entre versões diferentes de um mesmo programa.

A segunda, e melhor maneira, é comprar um certificado assinado por uma autoridade de certificação (CA – Certificate Authority) confiável. As CAs verificam os documentos do dono do site e o seu direito sobre aquele domínio – afinal de contas, a presença de um certificado deve indicar que o recurso pertence a uma empresa legítima registrada em uma determinada região.

Apesar de existirem várias CAs, é possível contar nos dedos as mais importantes. A reputação de uma autoridade determina o quanto os desenvolvedores de navegadores confiam nela e como exibem os sites ao levar em conta seus certificados. O preço de um certificado depende do seu tipo e do seu tempo de validade, bem como da reputação da CA.

Tipos de certificados SSL

Há diferentes tipos de certificados assinados por autoridades do ramo, que variam de acordo com a sua credibilidade, quem pode obtê-los e como, além, é claro de seu preço.

Certificados de Validação de Domínio (DV – Domain Validation)

Para obter um certificado de Validação de Domínio, uma pessoa física ou jurídica precisa provar que é proprietária do domínio em questão ou administra seu site no mesmo. Essa certificação permite o estabelecimento de uma conexão segura, mas não contém informações sobre a organização a que pertence, e nenhum documento é necessário para sua emissão. Conseguir um certificado desses raramente leva mais do que alguns minutos.

Certificados de Validação Organizacional (OV – Organization Validation)

Outra versão, de nível mais alto, são os certificados de Validação Organizacional, que não apenas confirmam que a conexão ao domínio é segura, mas também que este realmente pertence à organização especificada no certificado. Verificar toda a documentação para então emitir o certificado pode levar muitos dias. Se um site tem um certificado DV ou OV, o navegador mostra um cadeado cinza ou verde com a palavra Seguro e as letras HTTPS na barra de endereço.

Certificados de Validação Estendida (EV – Extended Validation)

Finalmente, temos os certificados de mais alto nível, que são os de Validação Estendida. Como os OV, apenas pessoas jurídicas que tenham apresentado todos os documentos necessários podem obter esse tipo de certificação, que faz com que o nome e a localização da organização apareçam em verde, ao lado de um cadeado da mesma cor, na barra de endereço.

Os certificados EV são aqueles em que os navegadores mais confiam, e também os mais caros. Mais uma vez, dependendo da versão utilizada, as informações sobre a certificação (quem emitiu, quando e seu período de validade) podem ser conferidas com um clique no nome da organização ou na palavra Seguro.

Problemas com certificados

A segurança online e a proteção dos dados de usuários são fatores importantes que os principais desenvolvedores de navegadores, como o Google e o Mozilla, incorporam em suas políticas. Por exemplo, no segundo semestre de 2017, o Google anunciou que, dali em diante, identificaria e exporia todos os sites que usassem uma conexão HTTP, marcando-os como “Não seguros” e, basicamente, obstruindo o acesso dos usuários a essas páginas.

A medida da empresa efetivamente forçou os sites HTTP a adquirirem um certificado confiável. Com isso, a demanda pelos serviços das CAs disparou, e muitas autoridades aceleraram a fase de verificação de documentos, o que causou um efeito negativo no controle de qualidade.

O resultado final é que, hoje em dia, certificados válidos podem ter sido emitidos para sites que não são totalmente confiáveis. Um estudo do Google revelou que uma das maiores e mais reconhecidas autoridades de certificação emitiu mais de 30.000 certificados digitais sem o devido cuidado. As consequências foram terríveis para a CA em questão: o Google afirmou que deixaria de confiar em todos os seus certificados até a revisão completa do seu sistema de verificação e a introdução de novos padrões. O Mozilla também pretende tornar mais rigoroso o controle de certificados em seus navegadores.

Apesar das reações, ainda não é possível ter certeza absoluta de que um certificado e seu dono são autênticos. Mesmo no caso de uma certificação EV que, aparentemente, atende todos os requisitos de segurança, não se pode confiar cegamente naquelas letrinhas verdes.

A situação dos certificados EV é lamentável. Phishers podem, por exemplo, registrar uma empresa com um nome parecido com o de outra bastante reconhecida para obter um certificado EV para a sua página. Com isso, o nome dessa empresa similar vai aparecer em verde na barra de endereço do site de phishing, o que vai lhe dar credibilidade. Então, ao visitar qualquer página, os usuários devem ser ficar atentos e seguir essas orientações.

Dicas