Certificado SSL grátis: entenda o que é e como usá-lo em seu site

A palavra grátis funciona quase como um ímã, na medida que atrai a atenção sobre o que dispensa se gastar alguma coisa. Segundo o ditado popular, “de graça até injeção na testa”. Mas calma lá, que não é para tanto. É gratuito sim, é bom, é indicado, mas não é injeção. Afinal o que é um certificado SSL grátis?

Nós já abordamos anteriormente o que é um certificado SSL e que é a sigla para Secure Sockets Layer, ou resumidamente consiste de acrescentar de uma camada de segurança à um protocolo, que pode ser o que você utiliza para acessar sites – ou seja, o HTTP.

Assim, um certificado SSL, seja ele gratuito ou pago, é um meio de aumentar a segurança de um site ou mais especificamente tornar segura a forma como ocorre a troca das informações entre o site e um usuário que o acesse, utilizando para isso a criptografia dos dados.

Certificado grátis é seguro?

Objetivamente, a resposta é sim. Então você deve estar se perguntando: “então porque alguém paga por um certificado, se o gratuito é bom?”. Dar uma resposta adequada a esta pergunta, exige várias informações e considerações, mas possivelmente a mais importante delas, está relacionada ao que é Let’s Encrypt, que é atualmente o mais usado SSL gratuito no mundo e por esta razão, é no qual vamos concentrar nossas informações.

O que é Let’s Encrypt?

É ao mesmo tempo uma autoridade certificadora (CA) e o nome usualmente adotado para o mais popular e mais usado certificado SSL gratuito da atualidade, baseado em plataforma aberta (open source) e livre e, portanto, para uso geral e irrestrito da comunidade de usuários de Internet.

Como eles mesmos definem, “Damos às pessoas os certificados digitais de que precisam para habilitar HTTPS (SSL / TLS) para sites, gratuitamente, da maneira mais amigável possível. Fazemos isso porque queremos criar uma Web mais segura e que respeite a privacidade.”

A organização por trás do Let’s Encrypt é a ISRG, (Internet Security Research Group), que por sua vez tem o papel de abrigar projetos e infraestrutura digital de benefício público, com apoio da Linux Foundation e é mantida com patrocínio privado de dezenas empresas multinacionais e de tecnologia, bem como instituições, como por exemplo, Akamai, Cisco, OVH, Facebook, Fundação Ford, Verizon, Google Chrome e Universidade de Michigan

Assim, tanto pelo capital usado para manutenção, bem como pela retaguarda tecnológica e de expertise dos patrocinadores, o certificado Let’s Encrypt ganhou reconhecimento, o que vem na forma de uma adoção maciça. Dados de março de 2018, apontavam cerca de 70 MILHÕES de domínios certificados ativos por meio do uso deste SSL.

Como funciona o Let’s Encrypt?

Basicamente a ideia é automatizar o procedimento, facilitando tanto o processo de instalação, como de administração dos certificados nos servidores, reduzindo ao mínimo que for possível a intervenção humana. Isso é possível instalando-se um agente que efetua o gerenciamento das transações no servidor onde os domínios estão hospedados.

O processo é composto de duas etapas. Não vamos nos estender e abordar todos os detalhes técnicos destas duas etapas, visto que não é o propósito aqui.

Na primeira etapa, o agente instalado no servidor confirma à autoridade certificadora que o servidor controla ou hospeda o domínio e gera um par de chaves. Essa confirmação ocorre por meio de tarefas ou desafios que o CA (Autoridade Certificadora) passa para o agente executar sob o domínio, como por exemplo, gerar algum conteúdo associado a uma URI do domínio ou fornecer uma zona de DNS específica ao domínio.

Feito isso, na segunda etapa, o CA fornece ao agente por intermédio do par de chaves públicas e privadas, a possibilidade de emissão ou revogação de certificados associados ao domínio. Assim, os navegadores são capazes de interpretar se o certificado instalado junto ao domínio em questão, é válido e, portanto, a troca de informações entre o usuário e o site, ocorrerá de maneira segura.

Certificado gratuito X Certificado pago

Uma vez que você já conhece quem está por trás do Let’s Encrypt e que a metodologia para geração dos certificados fornecidos é tão segura quanto a dos pagos, chegou a hora de esclarecer objetivamente as suas prováveis dúvidas.

A primeira justificativa é que nada é tão bom, que não possa ser ainda melhor. Em linhas gerais, o SSL grátis lhe confere a proteção básica necessária quando se imagina em um SSL, visto que o método de criptografia usado é o mesmo, mas os certificados pagos geralmente conferem características adicionais de segurança.

Os SSLs grátis geralmente são individuais, ou seja, cobrem apenas um domínio ou um subdomínio. Os certificados pagos mais baratos, também são individuais, mas somente os pagos oferecem a possibilidade de cobrir vários domínios e todos os subdomínios sob um domínio, o que é conhecido como SSL wildcard.

O período de expiração geralmente é menor. Normalmente os gratuitos expiram após 90 dias, sendo que os pagos têm geralmente periodicidade anual. Particularmente no caso do Let’s Encrypt há a possibilidade de renovação automática, que faz com que este aspecto deixe de ser uma desvantagem.

Dependendo da CA e do tipo de certificado contratado, no caso dos SSLs pagos, se ocorre alguma falha que faça com que a segurança / sigilo dos dados trocados seja comprometida, há reembolso para compensação de eventuais perdas. O valor é fixo, preestipulado e varia de acordo e depende de consulta junto à respectiva CA. Este tipo de situação não é coberta pelos certificados gratuitos.

No caso do Let’s Encrypt, o processo de instalação é automatizado, porém se algum problema ocorrer, bem como no caso de outros certificados gratuitos, não há suporte por parte do CA. Poderá haver algum nível de suporte por livre iniciativa de cada empresa de hospedagem. Já no caso dos pagos, há uma retaguarda técnica de amparo.

Aspectos visuais como a barra verde, selos e informações adicionais de segurança da empresa associada ao domínio, só estão presentes nos certificados pagos. Os únicos pontos que permitem saber que um domínio e consequentemente o respectivo site está vinculado a um certificado, é pela presença do HTTPS, na URL e porque o mesmo (https://) ficará na cor verde, quando se trata de um SSL grátis.

Conclusão

Você agora já sabe o benefício que um domínio com SSL instalado pode conferir ao site e aqueles que o visitam, sabe também que o nível de segurança é satisfatório e atende minimamente seu propósito, quando falamos de certificado SSL grátis, então não há mais motivo para se ter um domínio que não tenha um certificado SSL, mesmo que gratuito, vinculado a ele.