O que é certificado SSL?
Se você tem um site ou blog, saiba o que é o certificado SSL, como adquirir um e em qual certificadora confiar para renovar o seu
A percepção geral do público é de que sites com um certificado SSL, identificados pelo protocolo HTTPS e o cadeado verde são seguros e confiáveis, só que isso não é verdade. A conexão entre o site o usuário pode ser protegida, e só. Aqui, nós explicamos o que é e como funciona o certificado SSL, como você pode adquirir um para o seu site e por que é importante não confiar cegamente no cadeado verde.
O que é certificado SSL?
O certificado SSL (de Secure Socket Layer) é um arquivo de dados que vincula uma chave criptografada a um indivíduo ou empresa, de modo a proteger as informações trocadas entre o site e o visitante. Quando um certificado é vinculado a um site, este oferece uma conexão segura entre o dispositivo de acesso (PC, smartphone, tablet, etc.) e o servidor web.
Existem três modelos de certificados SSL: o de validação de domínio, o mais barato, popular e simples, que é emitido em até 30 minutos; o de validação organizacional, voltado a empresas e que exige dados específicos; e o de validação estendida, que exige documentos físicos de seu negócio para emitir o certificado de maior grau de validação, que é visto inclusive como um símbolo de status, ao destacar o nome da empresa ao lado do cadeado verde; claro, essa licença é a mais cara de todas.
Os certificados também variam dependendo de quantos domínios se deseja validar: o Comum é voltado a apenas um único endereço web (como https://tecnoblog.net); já o Coringa, ou Wild Card serve para proteger os dados do domínio principal e subdomínios que utilizem o formato https://*.nomedosite.xxx; por fim, o de Múltiplos Domínios protege até 100 sites com domínios diferentes do mesmo grupo.
Como o certificado SSL funciona?
Toda vez que um usuário entra num site, o navegador solicita o envio do certificado digital e verifica se ele é válido, se pertence mesmo ao domínio e se está em dia. Se tudo estiver de acordo, a URL do site começará com HTTPS; se o site não tiver um certificado válido, ele abrirá como HTTP e será marcado como inseguro.
Se a validade do certificado tiver expirado (o limite no Brasil é dois anos), e dependendo de como o mesmo coleta dados (por exemplo, um site de e-commerce), o navegador pode inclusive aconselhar o usuário a evita-lo.
Como adquirir um certificado SSL para o meu site?
A forma mais segura de adquirir um certificado digital é comprando um de certificadoras confiáveis. Há empresas que oferecem opções gratuitas e duvidosas como a Let’s Encrypt, mas por não fornecerem garantias quanto à confiabilidade dos dados, não são uma opção muito sensata para confiar a segurança de seu site.
Levando em conta de que você deverá prezar pela segurança de dados de seus usuários conforme a nova legislação, o mais sensato a fazer é fugir de opções baratas que podem custar muito caro no futuro.
No Brasil, as empresas habilitadas para vender certificados SSL são: Comodo, Symantec, GeoTrust e Thawte. Todas elas oferecem contratos que devem ser renovados a cada ano, com preços competitivos e acessíveis mesmo para pequenos sites e negócios. No SSL.net.br você pode conferir os planos e adquirir um.
O certificado SSL garante que um site é 100% seguro?
De maneira alguma.
Muita gente acredita que o certificado SSL é uma garantia de que o site é protegido e confiável, mas a única coisa que ele faz é oferecer um canal seguro para a troca de dados. Ele não pode garantir que a pessoa ou organização por trás do site é idônea.
Um dos grandes problemas do certificado SSL é justamente esse, indivíduos mal intencionados adquirem a documentação para incluir o cadeado verde em sites de phishing, e embora suas informações não possam ser acessadas por gente de fora, o administrador ainda está roubando seus dados.
E os golpistas sabem disso e aproveitam. Mais de 80% dos usuários acreditam que um certificado SSL é uma garantia de que o site é confiável, o que não poderia estar mais distante da realidade; uma forma simples de explicar a diferença entre HTTPS, SSL e sites confiáveis foi dada pelo professor Scott Hanselman:
HTTPS & SSL doesn’t mean “trust this.” It means “this is private.” You may be having a private conversation with Satan.
— Scott Hanselman (@shanselman) 4 de abril de 2012
HTTPS e SSL não significam ‘este site é confiável’, e sim ‘a comunicação com este site é confiável’. Resumindo, você pode estar tendo uma conversa privada com o diabo.
Vale lembrar que até pela facilidade de se conseguir um certificado SSL no Brasil, o país lidera o ranking global de golpes por phishing e boa parte desses domínios mantidos por picaretas, quer sejam originais ou tentem se passar por outros, como sites de banco ou de lojas famosas possuem o cadeado verde e o HTTPS. E o usuário médio morde a isca, com linha e anzol.
Leia também:
- Google e Symantec estão em pé de guerra por causa de certificados SSL
- Google Chrome deixará de carregar 1.000 sites com certificado HTTPS inválido
Se o certificado não é 100% seguro, em quem confiar?
O mais importante a fazer é desconfiar sempre: evite entrar com dados sensíveis como login e senhas de apps e redes sociais, cadastros de sites e serviços ou credenciais bancárias, números de cartões de créditos e códigos de segurança em sites desconhecidos. É importante também ficar atento ao domínio, se não há caracteres ou letras estranhos na URL e se os links foram enviados de fontes confiáveis.
Evite ao máximo clicar em links em e-mails supostamente enviados por seu banco ou empresa (cheque sempre o endereço do remetente) e utilize antivírus e firewalls em caso de dúvidas; tais softwares trabalham com listas atualizadas de sites de phishing e detectam golpes na hora.