O que é um certificado SSL? Definição e guia

Nos primórdios da internet, todas as requisições e respostas dos sites eram transferidas em "texto simples". Isso significava que elas podiam ser visualizadas por "enxeridos" da internet, tornando arriscado transmitir informações privadas como nomes de login, números de cartão de crédito e outras informações pessoais. 

Em meados dos anos 90, a Netscape desenvolveu um protocolo de segurança para criptografar informações confidenciais para entrega e transferência de conteúdo na web. Esse protocolo foi chamado de SSL (Secure Sockets Layer) e, mais tarde, evoluiria para outro protocolo chamado TLS (Transport Layer Security). 

Embora SSL e TLS sejam diferentes em termos de capacidades e arquitetura, ambos oferecem segurança por meio de uma tecnologia digital chamada certificado SSL.

O que é um certificado SSL?

Um certificado SSL é um certificado digital que autentica a identidade de um site e cria uma conexão criptografada entre o site e um navegador. O certificado SSL às vezes é chamado de "certificado SSL/TLS" ou simplesmente "cert".

Os certificados SSL protegem a identidade da conexão remota e tornam as interações online privadas, garantindo que ninguém, exceto o remetente e o destinatário, possa ler ou modificar o conteúdo compartilhado através da conexão segura. Um certificado SSL atua como um passaporte para verificar a identidade do proprietário do site e como uma chave para manter os dados do usuário seguros por meio de uma criptografia robusta.

O que é uma autoridade certificadora SSL?

Os certificados SSL são emitidos por organizações chamadas autoridades certificadoras. Uma CA é uma organização terceirizada confiável que garante a identidade de um site. Além disso, por não existirem muitas em operação, elas se tornam confiáveis, bem conhecidas e atuam num setor que possui altas barreiras de entrada. Existem pouco mais de 100 autoridades certificadoras em todo o mundo, e elas são auditadas para serem incluídas como uma fonte confiável pelos navegadores web e sistemas operacionais.

Antes de emitir um certificado, a CA verifica as informações do solicitante do certificado, como propriedade do site, nome, localização e mais, de acordo com os padrões estabelecidos pelo setor. A CA também assina digitalmente o certificado com sua própria chave privada, permitindo que os clientes o verifiquem. Para fornecer esse serviço, a maioria das CAs cobra uma pequena taxa anual (embora certificados SSL gratuitos estejam disponíveis através de alguns serviços de hospedagem web e de CAs sem fins lucrativos).

O próprio certificado SSL é um pequeno arquivo digital, geralmente de alguns kilobytes, que é instalado no servidor que suporta TLS e então compartilhado com outros. Este arquivo contém:

• O nome de domínio para o qual o certificado foi emitido
• A organização para a qual foi emitido (o titular do certificado)
• O nome da autoridade certificadora que o emitiu
• A assinatura digital da autoridade certificadora
• Quaisquer subdomínios associados
• A data de emissão e de expiração do certificado 
• A chave pública (observação: a chave privada não é compartilhada)

Sempre que você usa um navegador para se conectar a uma URL que começa com “https”, ou vê um ícone de cadeado na barra de endereços do navegador, você sabe que ele tem uma conexão TLS segura, verificada por um certificado SSL e emitido por uma CA. Clicar no ícone do cadeado irá exibir informações adicionais sobre o certificado SSL, o proprietário do domínio e a conexão.

Embora esse cadeado indique que sua conexão com o site é segura, isso não significa necessariamente que o site em si seja seguro. Ou seja, apenas porque você pode se conectar de forma segura a um site não significa que ele não seja administrado por pessoas mal-intencionadas.

Como funciona um certificado SSL?

Um certificado SSL utiliza algoritmos de criptografia para "embaralhar" dados durante a transmissão. Isso garante que qualquer dado transferido entre um navegador e um site permaneça ilegível para terceiros.

A comunicação segura via TLS depende de dois certificados — um público e um privado — para criar a conexão segura. 

Quando um navegador tenta se conectar a um site protegido com TLS, essa comunicação é estabelecida na forma de um "aperto de mão", ou seja, uma comunicação de ida e volta que leva apenas alguns milissegundos. As etapas dessa interação são:

1. O cliente (navegador) conecta-se ao site protegido por SSL (servidor).
2. O cliente solicita que o servidor se identifique.
3. O servidor envia uma cópia de seu certificado SSL.
4. O cliente examina o certificado SSL quanto à confiabilidade e sinaliza ao servidor se ele é aceitável.
5. O servidor inicia um acordo, assinado digitalmente, para começar uma sessão criptografada por SSL.
6. Dados criptografados agora fluem livremente e com segurança entre o navegador e o servidor.

O "aperto de mão" inicial acontece usando criptografia assimétrica, ou seja, baseada em chaves públicas e privadas. Após a validação, o cliente e o servidor trocam chaves privadas temporárias, usadas apenas para a sessão. Como resultado, permite-se uma criptografia e descriptografia mais eficiente.

Tipos de certificados SSL

1. Certificado validado por domínio (DV)
2. Certificado validado por organização (OV)
3. Certificado de validação estendida (EV)

Para aproveitar ao máximo os benefícios do SSL, é recomendável escolher o certificado SSL correto. Cada tipo de certificado SSL serve a propósitos diferentes e possui custos diferentes.

1. Certificado validado por domínio (DV)

Custo: R$ 0 a R$ 300 por ano

Um certificado SSL DV consiste numa verificação de identidade simples e automatizada, apenas comprovando que o proprietário tem controle sobre o domínio ou subdomínio. O processo geralmente é realizado por e-mail.

Um certificado SSL DV é a maneira mais acessível de obter um certificado, com a maioria dos certificados SSL gratuitos sendo deste tipo. No entanto, ele representa o padrão mais baixo de segurança do site. Os certificados DV são úteis para blogs, sites individuais, pequenas empresas ou qualquer site com necessidades básicas de segurança. 

2. Certificado validado por organização (OV)

Custo: R$ 500 a R$ 5.000 por ano

O certificado SSL OV oferece uma garantia mais forte da identidade do portador. Além disso, para obter um certificado OV, o comprador deve passar por nove verificações de validação.

Este é um certificado empresarial de nível intermediário, e a CA emissora garante que a organização afiliada ao certificado é válida e está em boa situação. Esta é uma boa opção para empresas que não realizam transações financeiras ou não operam um e-commerce através do seu site.

Certificado de validação estendida (EV)

Custo: mais de R$ 5.000 por ano

Um certificado SSL EV representa o nível mais alto de verificação de identidade, mais adequado para corporações, instituições financeiras e sites de e-commerce. Aqui, dezesseis verificações de validação estão envolvidas, incluindo a identidade jurídica e a localização física.

O usuário final vê uma barra de navegador verde, indicando o mais alto nível de verificação, além de informações corporativas adicionais por trás do cadeado.

E se você precisar proteger vários domínios?

Um único certificado SSL garante a segurança de apenas um nome de domínio. No entanto, muitas empresas precisam de uma solução que proteja vários nomes de domínio ou subdomínios. Para esses casos, o protocolo SSL oferece duas soluções diferentes: um certificado SSL Wildcard ou um certificado SSL de múltiplos domínios.

Certificado SSL Wildcard

Custo: varia

Algumas empresas utilizam vários subdomínios (por exemplo, blog.exemplo.com, shop.exemplo.com) para desempenhar diferentes funções no mesmo site. Para essas organizações, a melhor solução SSL é geralmente um certificado SSL wildcard. Um certificado SSL wildcard protege o domínio principal do site e quaisquer subdomínios associados, reduzindo custos e simplificando a administração.

Certificado SSL de múltiplos domínios

Custo: varia

Enquanto os certificados SSL wildcard ajudam um proprietário de site a proteger subdomínios dentro de um único domínio principal, os certificados SSL de múltiplos domínios (MDC) podem ser usados para proteger vários nomes de domínio simultaneamente. Domínios adicionais podem ser incluídos em um certificado de múltiplos domínios através de "nomes alternativos do assunto" (SANs – Subject Alternative Names), sem precisar adquirir um certificado SSL de domínio a mais. Certificados SSL de múltiplos domínios muitas vezes são conhecidos como certificados de comunicações unificadas (UCC).

Como obter um certificado SSL

O processo para obter certificados SSL, seja de domínio único ou de múltiplos, e de garantir a segurança dos dados dos usuários em seu site pode ser algo complexo. Veja abaixo as etapas de como prosseguir:

1. Determine o nível de segurança necessário para o seu site. Escolha entre certificados SSL DV, OV ou EV. (Se você tem vários domínios ou subdomínios, talvez precise adicionar um certificado wildcard ou MDC.) Avalie novamente as necessidades e o orçamento da sua empresa e escolha o nível de verificação de identidade apropriado.
2. Determine os domínios e subdomínios que terão o certificado. Se você tiver apenas um, talvez não precise obter um certificado wildcard.
3. Escolha uma autoridade certificadora/fornecedor. Para as necessidades mais básicas, seu provedor de hospedagem web talvez possa te ajudar a obter um certificado gratuito. Certificados de múltiplos domínios e EV irão exigir que você desembolse algum valor para uma autoridade certificadora, por isso, lembre de pesquisar e cotar as opções disponíveis.
4. Solicite um certificado ao provedor SSL que você escolheu. Isso geralmente consiste em preencher formulários na web e realizar pagamentos.
5. Verifique a propriedade e outros detalhes. A CA seguirá com a verificação das informações que você enviou em sua solicitação, exigindo, no mínimo, a verificação de propriedade do domínio por e-mail.
6. Obtenha e instale o certificado. Este passo depende da CA que você escolheu e da sua plataforma web. Geralmente, você baixa um arquivo ZIP contendo três chaves: a chave pública, a chave privada e um pacote da autoridade certificadora. Se você opera o seu site através de um provedor de hospedagem comercial, o painel de administração do seu site geralmente incluirá as ferramentas para a instalação do certificado. Se você está hospedando do seu próprio hardware, mais próximo ao sistema operacional e servidor web, então siga a documentação para essa situação.
7. Configure outros aplicativos para usar o certificado. Se você pretende utilizar as conexões SSL para outros aplicativos em seus servidores (por exemplo, WordPress, e-mail, etc.), você precisará configurá-los para usar seu certificado e o protocolo TLS.
8. Confirme que sua conexão segura está funcionando. Conecte-se ao seu site e/ou outros aplicativos e certifique de que você tem uma conexão segura. Clique no cadeado e revise as informações exibidas no seu navegador.
9. Envie o(s) seu(s) site(s) aos motores de busca. Seus novos sites "https" são diferentes dos seus antigos sites "http". Dito isso, se seus usuários dependem dos mecanismos de busca para encontrá-lo, você precisará reenviar seu novo endereço web https para indexação.