O que é certificado SSL?

Se você tem um site ou blog, saiba o que é o certificado SSL, como adquirir um e em qual certificadora confiar para renovar o seu

Ronaldo Gogoni
• Atualizado há 1 ano e 10 meses

A percepção geral do público é de que sites com um certificado SSL, identificados pelo protocolo HTTPS e o cadeado verde são seguros e confiáveis, só que isso não é verdade. A conexão entre o site o usuário pode ser protegida, e só. Aqui, nós explicamos o que é e como funciona o certificado SSL, como você pode adquirir um para o seu site e por que é importante não confiar cegamente no cadeado verde.

Jarmoluck / cadeado / certificado ssl / Pixabay

O que é certificado SSL?

O certificado SSL (de Secure Socket Layer) é um arquivo de dados que vincula uma chave criptografada a um indivíduo ou empresa, de modo a proteger as informações trocadas entre o site e o visitante. Quando um certificado é vinculado a um site, este oferece uma conexão segura entre o dispositivo de acesso (PC, smartphone, tablet, etc.) e o servidor web.

Existem três modelos de certificados SSL: o de validação de domínio, o mais barato, popular e simples, que é emitido em até 30 minutos; o de validação organizacional, voltado a empresas e que exige dados específicos; e o de validação estendida, que exige documentos físicos de seu negócio para emitir o certificado de maior grau de validação, que é visto inclusive como um símbolo de status, ao destacar o nome da empresa ao lado do cadeado verde; claro, essa licença é a mais cara de todas.

Os certificados também variam dependendo de quantos domínios se deseja validar: o Comum é voltado a apenas um único endereço web (como https://tecnoblog.net); já o Coringa, ou Wild Card serve para proteger os dados do domínio principal e subdomínios que utilizem o formato https://*.nomedosite.xxx; por fim, o de Múltiplos Domínios protege até 100 sites com domínios diferentes do mesmo grupo.

Como o certificado SSL funciona?

Toda vez que um usuário entra num site, o navegador solicita o envio do certificado digital e verifica se ele é válido, se pertence mesmo ao domínio e se está em dia. Se tudo estiver de acordo, a URL do site começará com HTTPS; se o site não tiver um certificado válido, ele abrirá como HTTP e será marcado como inseguro.

Se a validade do certificado tiver expirado (o limite no Brasil é dois anos), e dependendo de como o mesmo coleta dados (por exemplo, um site de e-commerce), o navegador pode inclusive aconselhar o usuário a evita-lo.

Como adquirir um certificado SSL para o meu site?

A forma mais segura de adquirir um certificado digital é comprando um de certificadoras confiáveis. Há empresas que oferecem opções gratuitas e duvidosas como a Let’s Encrypt, mas por não fornecerem garantias quanto à confiabilidade dos dados, não são uma opção muito sensata para confiar a segurança de seu site.

Levando em conta de que você deverá prezar pela segurança de dados de seus usuários conforme a nova legislação, o mais sensato a fazer é fugir de opções baratas que podem custar muito caro no futuro.

Stocksnap / ecommerce / certificado ssl / Pixabay

No Brasil, as empresas habilitadas para vender certificados SSL são: Comodo, SymantecGeoTrust e Thawte. Todas elas oferecem contratos que devem ser renovados a cada ano, com preços competitivos e acessíveis mesmo para pequenos sites e negócios. No SSL.net.br você pode conferir os planos e adquirir um.

O certificado SSL garante que um site é 100% seguro?

De maneira alguma.

Muita gente acredita que o certificado SSL é uma garantia de que o site é protegido e confiável, mas a única coisa que ele faz é oferecer um canal seguro para a troca de dados. Ele não pode garantir que a pessoa ou organização por trás do site é idônea.

Um dos grandes problemas do certificado SSL é justamente esse, indivíduos mal intencionados adquirem a documentação para incluir o cadeado verde em sites de phishing, e embora suas informações não possam ser acessadas por gente de fora, o administrador ainda está roubando seus dados.

E os golpistas sabem disso e aproveitam. Mais de 80% dos usuários acreditam que um certificado SSL é uma garantia de que o site é confiável, o que não poderia estar mais distante da realidade; uma forma simples de explicar a diferença entre HTTPS, SSL e sites confiáveis foi dada pelo professor Scott Hanselman:

HTTPS & SSL doesn’t mean “trust this.” It means “this is private.” You may be having a private conversation with Satan.

— Scott Hanselman (@shanselman) 4 de abril de 2012

HTTPS e SSL não significam ‘este site é confiável’, e sim ‘a comunicação com este site é confiável’.  Resumindo, você pode estar tendo uma conversa privada com o diabo.

Vale lembrar que até pela facilidade de se conseguir um certificado SSL no Brasil, o país lidera o ranking global de golpes por phishing e boa parte desses domínios mantidos por picaretas, quer sejam originais ou tentem se passar por outros, como sites de banco ou de lojas famosas possuem o cadeado verde e o HTTPS. E o usuário médio morde a isca, com linha e anzol.

Leia também:

Se o certificado não é 100% seguro, em quem confiar?

O mais importante a fazer é desconfiar sempre: evite entrar com dados sensíveis como login e senhas de apps e redes sociais, cadastros de sites e serviços ou credenciais bancárias, números de cartões de créditos e códigos de segurança em sites desconhecidos. É importante também ficar atento ao domínio, se não há caracteres ou letras estranhos na URL e se os links foram enviados de fontes confiáveis.

Evite ao máximo clicar em links em e-mails supostamente enviados por seu banco ou empresa (cheque sempre o endereço do remetente) e utilize antivírus e firewalls em caso de dúvidas; tais softwares trabalham com listas atualizadas de sites de phishing e detectam golpes na hora.

Relacionados

Escrito por

Ronaldo Gogoni

Ronaldo Gogoni

Ex-autor

Ronaldo Gogoni é formado em Análise de Desenvolvimento de Sistemas e Tecnologia da Informação pela Fatec (Faculdade de Tecnologia de São Paulo). No Tecnoblog, fez parte do TB Responde, explicando conceitos de hardware, facilitando o uso de aplicativos e ensinando truques em jogos eletrônicos. Atento ao mundo científico, escreve artigos focados em ciência e tecnologia para o Meio Bit desde 2013.