Para discutir profundamente sobre ‘HTTPS’ e Certificados Digitais, precisamos falar sobre criptografia, mas não se preocupe, será indolor. O importante é entender que: neste momento uma criptografia forte é a melhor forma de proteger a nossa informação.
Todos nós fomos instruídos a procurar o cadeado verde ou cinza que, na maioria dos navegadores, indica o cumprimento das medidas de segurança do protocolo de transferência de hipertexto. Nos ensinaram, de todas as maneiras possíveis, que ‘HTTPS’ é sinônimo de segurança e que devemos garantir que vemos ‘HTTPS’ na barra do navegador antes de colocar informação delicada na web, especialmente quando se trata de bancos ou informação de pagamento. Mas o que é realmente ‘HTTPS’?
‘HTTPS’ é a versão segura do protocolo de transferência de hipertexto, que é basicamente a maneira como movemos a informação na internet. Basicamente, conectar-se a um website via ‘HTTPS’ (ao invés do ‘HTTP’) significa que qualquer informação trocada, seja login, comentários em um blog, ou o pagamento de uma fatura, passará pela TLS (encrypted transport layer security) ou seu predecessor o SSL (security sockets layer).
Bem, então ‘HTTPS’ é sinônimo de criptografia e criptografia significa segurança, mas como saber que estou me comunicando com a pessoa ou serviço com quem desejo estabelecer uma comunicação online? Tenho certeza de que você se perguntou: como posso ter certeza de que o site que vejo é verdadeiro e não uma cópia falsa? Imagine que você está comprando um antivirus da Kaspersky, como ter certeza que sua informação de pagamento está chegando até nós e não a um hacker escondido num quarto escuro da Romania? Além disso, como garantir que a informação transferida não está sendo observada por terceiros? É aqui que os certificados digitais entram em cena.
Você pode simplesmente digitar ‘HTTPS’ na barra de endereço de qualquer site. Se a página tiver um certificado válido, o servidor que a hospeda irá apresentá-lo a seu navegador (que tem uma lista de certificados embutida) e nada muito visível acontecerá. Um certificado digital é algo que comprova que o o site ou serviço corresponde a como se identifica. Dependendo do navegador você pode clicar no pequeno cadeado (ou equivalente) para encontrar alguma informação sobre o certificado e seu expeditor. De todas as maneiras, se tentar acessar a versão ‘HTTPS’ de um site que não possui um certificado válido, você verá um aviso SSL como este:
Este aviso é a forma de seu navegador avisar que não consegue comprovar a identidade do site com o qual está tentando se conectar. Você provavelmente imagina porque é importante ter um sistema de certificados como este para verificar que sites e serviços são quem dizem ser. Mas se sua imaginação não está funcinando, leia sobre os ataques man-in-the-middle.
Agora que tem conhecimentos básicos sobre ‘HTTPS’ e certificados, deve estar pensando como as duas coisas estão relacionadas. Em resumo, ‘HTTPS’ significa que a informação enviada está segura pelo trânsito encriptado e o certificado digital garante que ela está indo para onde deveria.
Explicamos como os certificados funcionam e para que servem, mas os certificados não são idéias intengíveis, então como são? Um certificado digital é um documento eletrônico que contém uma assinatura algorítma digital única, a informação de identificaçãodo site ou serviço para que o certificado foi emitido, a informação de identificação do emissor e o período de validade. Esta assinatura algorítma é a finalidade de um certificado digital, parte que confirma que você está realmente se comunicando com quem deseja e de que a informação está circulando por uma via encriptada.
A última parte do quebra-cabeças que requer explicação são os emissores do certificado, organizações que vendem ou emitem certificados digitais, conhecidas como autoridades de certificação. GoDaddy, VeriSign, e Entrust são três autoridades de certitificação top of mind. Para ser uma autoridade de certificados digitais é preciso gerar confiança.
Atualmente esta confiança se baseia numa lista chamada ‘certificadoras raízes’ que são confiáveis para a maioria dos navegadores. Elas também possuem o poder de extender sua credibilidade a outras autoridades de certificado . Por exemplo, uma pessoa chamada Larry emite certificados e é um certificador raíz , seu navegador aprovará qualquer certificado emitido por Larry assim como certificados aprovados por ele. Existem muitas autoridades de certificação por aí, então deixamos que 1 das mais ou menos 36 autoridades confiáveis cuidar de nossa segurança e viveremos felizes para sempre, certo? Na verdade não.
O atual sistema de certificação é complicado, conturbado e controverso. Os certificados digitais, as assinaturas que eles contêm e as autoridades de certificados que votam nos dão uma base para detectar autenticidade e credibilidade online. Ironicamente, todo mundo da indústria sabe que o sistemas de autoriades certificadoras e assinaturas digitais está comprometido sem esperanças e tremendamente inadequado, ainda assim aqui estamos, contando com ele para fazer pagamentos e nos comunicar diariamente.
Violações de grandes autoridades de certificação como DigiNotar e Comodo e a revelação de que não uma, mas duas autoridades certificadoras foram atacadas por virus mostram que um novo sistema é necessário. O pesquisador de segurança Moxie Marlinspike sugeriu que seu sistema de “Convergência SSL” é a solução para o problema de certificados. E mesmo que o lançamento do mesmo durante a Conferência Black Hat Security do ano passado tenha sido um sucesso unânime, nós continuamos sofrendo com um sistema de certificados obsoleto. Estamos adivinhando quais são as melhores certificadoras enquanto nos comunicamos e gastamos dinheiro online. De vez em quando escutamos sobre a violação de uma autoridade de certificação, reclamamos do problema e depois seguimos em frente sem encontrar uma solução.
Então o que podemos fazer? Garantir que está navegando em ‘HTTPS’ quando usa informação delicada, como informação de pagamento, logins ou até emails. E clicar no cadeado para avaliar o certificado por conta própria. Os mais experientes ainda podem acompanhar as notícias de segurança e revogar manualmente os certificados das autoridades que estão comprometidas. Revogar sua credibilidade fará com que seu navegador deixe de aprovar os certificados emitidos por aquelas autoridades. A melhor forma de revogar a credibilidade de uma autoridade de certificação comprometida é nas configuarações de seu navegador, mas não se preocupe tanto,Microsoft, Mozilla, e Google têm sido bastante rápidos em revogar a credibilidade (pena que não podemos dizer o mesmo de Apple). Enquanto estiver com o navegador e os patches de seu sistema operativo atualizados você estará protegido contra certificados maliciosos e falsos.