Certificado SSL: O que é e qual importância para seu site?

É bastante provável que você use um, mesmo que não saiba o que é e o porquê de ser tão necessário. Mas se quer entender mais e de modo descomplicado as várias questões relacionadas aos certificados SSL, veio ao lugar certo.

Nesse bate-papo, além de explicar o que é, vamos esclarecer as principais dúvidas a respeito, como por exemplo, o seu funcionamento, a importância para o seu site, os diferentes tipos existentes, entre outras questões relevantes.

Vamos ao que interessa?

O que é um certificado SSL?

Resumidamente, um certificado SSL é um documento digital que assegura a autenticidade do site no qual ele está instalado e institui uma camada de segurança ao protocolo HTTP, criptografando a troca de dados entre o servidor no qual o site está hospedado e o navegador do visitante.

Quem é leigo em questões desse tipo, com esse tipo de explicação, pode continuar sem entender o que é esse tal de certificado SSL, não é mesmo?

Mas quando explicamos separadamente cada conceito contido na definição acima, as coisas começam a ficar mais claras:

  • Certificado – certificados são documentos que garantem que a informação associada é verdadeira e para que haja credibilidade, precisam ser emitidos por uma Autoridade Certificadora (ou CA, do inglês Certificate Authority) confiável, que é responsável por emitir, gerenciar, renovar e revogar certificados digitais;

  • SSL – é a sigla para Secure Sockets Layer (Camada de Soquete Seguro), que é responsável por criptografar a troca de dados entre um navegador Web e um servidor, garantindo a privacidade e a integridade dessas informações em relação a possíveis intrusos;

  • Criptografiacriptografia é a tecnologia que utiliza um algoritmo capaz de produzir uma profunda alteração em dados quaisquer, de forma a torná-los ilegíveis a qualquer um que não tenha acesso ao segredo ou chave necessários para reverter os dados ao seu formato original;

  • HTTP – o HTTP é o protocolo de internet criado para acesso à páginas Web, originalmente inseguro, mas que combinado ao SSL, é designado como HTTPS (Hyper Text Transfer Protocol Secure) e corrige a vulnerabilidade de segurança do HTTP.

Ou seja, ao incluir um certificado SSL em um site, além de garantir aos visitantes que ele é legítimo, na eventualidade de um terceiro malicioso interceptar a troca de informações entre o navegador e o servidor que hospeda as páginas, ele será incapaz de compreender os dados envolvidos.

Na prática é um mecanismo de manutenção da segurança e privacidade dos dados visitantes e do próprio site.

Como funciona o SSL?

Ao acessar uma página na Web por meio de uma conexão não criptografada (HTTP), um possível invasor consegue ler o conteúdo dos pacotes de dados trocados entre o navegador e o servidor que hospeda a página, porque esse protocolo foi concebido em um época na qual esse tipo de acesso não envolvia a troca de dados sensíveis, como por exemplo, dados pessoais, dados bancários, ou login e senha.

Porém, ao instalar um SSL junto a um domínio, as informações trocadas entre o computador de um visitante e o site, são criptografadas e graças a isso, o "seu nome" poderia ser exibido como por exemplo: "vbo7r1iaew82BDHEwmp1qYewD+vco9n0yD6g"

É isso que faz a criptografia, alterando os dados envolvidos de modo que se tornem incompreensíveis para quem não tiver a respectiva chave. Somente o servidor com o qual você efetuou a conexão criptografada possui a chave privada necessária para converter "vbo7r1iaew82BDHEwmp1qYewD+vco9n0yD6g" em "seu nome".

Em termos práticos, imagine o processo como um acordo no qual o navegador e o servidor estipulam um modo “secreto” de conversar, por meio das seguintes etapas:

  • Pedido de conexão segura – o navegador (Chrome, Edge, Firefox, etc.) pede ao servidor para estabelecer uma conexão protegida;

  • Apresentação do certificado – o servidor exibe seu certificado SSL, que funciona como uma identidade digital. É como se dissesse: “Sou realmente quem digo ser”;

  • Verificação de confiança – o navegador confere se esse certificado foi emitido por uma Autoridade Certificadora (CA) confiável. Se estiver tudo certo, a conversa prossegue;

  • Troca de chaves – aqui ocorre a troca das famosas chave pública e chave privada:

    • A chave pública é compartilhada com o navegador;

    • A chave privada fica guardada apenas no servidor. Juntas, elas permitem criar uma “regra secreta” para embaralhar e reverter os dados, que só os dois conhecem;

  • Criação da conexão criptografada – a partir desse ponto, todos os dados trocados (como nome, senha ou número de cartão) são transformados em códigos indecifráveis para qualquer invasor. Só quem tem a chave correta consegue “traduzir” a informação;

  • Comunicação segura – com a criptografia ativa, mesmo que alguém intercepte os dados, verá apenas uma sequência sem sentido, como vbo7r1iaew82BDHEwmp1qYewD+vco9n0yD6g, em vez do seu nome verdadeiro.

Portanto, a diferença entre HTTPS e HTTP é a transmissão criptografada e segura de dados usando o TLS.

E não, não houve erro de digitação. Atualmente, embora seja comum se falar em SSL, o que de fato é usado nesse processo, é o TLS.

Qual a diferença entre SSL e TLS?

SSL e TLS são tecnologias criadas com a mesma finalidade, que é proteger a comunicação entre navegador e servidor por meio de criptografia.

A diferença está na evolução:

  • SSL (Secure Sockets Layer) – foi lançado nos anos 90 e teve várias versões (SSL 2.0, SSL 3.0). Com o tempo, falhas de segurança foram descobertas e essas versões se tornaram obsoletas;

  • TLS (Transport Layer Security) – surgiu como sucessor direto do SSL, trazendo melhorias importantes na forma de negociar chaves, validar certificados e evitar ataques.

Hoje, quando falamos em “SSL”, na verdade estamos nos referindo ao TLS, que é o protocolo atualmente utilizado, cujas versões são:

  • TLS 1.0 e 1.1 – já considerados inseguros e descontinuados;

  • TLS 1.2 – ainda relativamente usado e confiável;

  • TLS 1.3 – a versão mais atual, lançada em 2018, que simplifica o processo de conexão e aumenta a velocidade, pois é um processo exigente em termos de processamento, além de reforçar a segurança.

Em resumo:
SSL é o nome histórico, mas não é mais usado.
TLS é a tecnologia vigente, que herdou o papel do SSL e continua evoluindo.

Por isso tudo, quando se fala a respeito, é comum encontrarmos certificados SSL/TLS.

Como sei se um site tem SSL?

Desde janeiro de 2017, ao acessar um site a maioria dos bons navegadores Web passou a emitir um alerta na ausência de um certificado SSL ou quando não consegue validar o certificado SSL/TLS do site, exibindo a mensagem "sua conexão com este site não é segura" ou “sua conexão não é particular / privada”.

Além disso, há alguns sinais visuais bem fáceis de perceber:

  • Cadeado na barra de endereço – quando o site possui SSL/TLS válido, o navegador exibe um ícone de cadeado ao lado do endereço. Esse é o indicativo mais evidente de que a conexão está protegida;

  • Uso do HTTPS – o endereço do site começa com https:// em vez de http://. O “S” vem de Secure (seguro);

  • Alertas de segurança – se o certificado estiver vencido, mal configurado ou emitido por uma autoridade não confiável, o navegador pode exibir mensagens de aviso ou até bloquear o acesso;

  • Certificados avançados (EV) – em alguns casos, especialmente em bancos e grandes empresas, o navegador pode mostrar informações extras de validação, como o nome da organização ao lado do cadeado, como veremos em mais detalhes adiante.

Em resumo, se você vê o cadeado e o “https://” no endereço, pode navegar com mais tranquilidade. Se o navegador exibir alertas, é sinal de que algo está errado com o certificado e não há garantia de que a conexão é segura.

Agora que você é capaz de identificar, fique atento a quais sites cuidam da segurança das suas informações.

OBS: (O fim do "Cadeado"), o Google Chrome substituiu o ícone do cadeado por um ícone de "ajustes/controles" (duas linhas com círculos). Ele fez isso justamente porque as pessoas achavam que o cadeado significava "site seguro contra hackers", quando na verdade significa apenas "conexão criptografada".

Por que é importante ter SSL instalado?

Por tudo que você já leu até aqui, já é natural imaginar a importância de contar com tal recurso, especialmente em alguns tipos de site.

Objetivamente, eis as razões da relevância do SSL para os sites:

  • SSL e SEO – desde 2014, o Google vem considerando a adoção de certificados SSL como essencial por parte de um domínio, a ponto de listar entre os muitos aspectos de ranqueamento dos sites nos resultados orgânicos da sua busca. Dessa forma, sites sem SSL não são automaticamente excluídos dos resultados, mas podem perder muitas posições e aparecer com alertas de “não seguro”;

  • Segurança e privacidade – o certificado permite ao usuário verificar a identidade do servidor, da empresa por trás do site e a validade da criptografia, fatores essenciais para a segurança e privacidade;

  • Transações financeiras – qualquer site em que sejam trocadas informações sensíveis, como utilização de cartão de crédito, débito ou PIX, é exigido pela empresa responsável pelo gateway de pagamento que as transações sejam por meio seguro, ou seja, usando SSL ou que as páginas nas quais os dados sejam fornecidos, sejam acessadas usando-se HTTPS;

  • Credibilidade – se por ocasião da sua criação o SSL era um diferencial, já há alguns anos passou a ser um requisito básico de qualquer domínio, contribuindo para a credibilidade e seriedade das empresas que mantém sites na Web;

  • Proteção contra phishing – os certificados SSL/TLS ajudam usuários a identificar sites legítimos, reduzindo risco de golpes envolvendo phishing;

  • Compatibilidade com navegadores – todos os bons navegadores modernos, como Chrome, Edge, Firefox e outros já bloqueiam ou exibem alertas em sites sem HTTPS;

  • Experiência do usuário – os visitantes tendem a abandonar sites marcados como “não seguros”, o que impacta a conversão e as vendas;

  • Desempenho – o HTTPS é um pré-requisito para o HTTP/2 e HTTP/3, que tornam o site muito mais rápido, lembrando que o Google “ama” sites rápidos

Como instalar o SSL?

A instalação é razoavelmente simples, mas se você não tem prática ou conhecimento, pode enfrentar alguma dificuldade.

Como há particularidades a depender da sua plataforma de desenvolvimento e/ou do ambiente de hospedagem, o suporte técnico da sua empresa de hosting pode lhe orientar quanto a o quê deve ser feito, bem como a empresa emissora do SSL, desde que não seja um certificado gratuito.

Além da instalação propriamente dita, em alguns casos é necessário efetuar algumas alterações no código do site. Dependendo de qual CMS foi utilizado para criar e gerenciar seu site, existem opções pelas quais com alguns cliques e em segundos, as alterações necessárias são feitas.

Assim por exemplo, o Magento que é uma plataforma para desenvolvimento de sites e-commerce, há uma opção rápida e fácil para adaptação. Consulte o suporte ou documentação da aplicação que você utiliza ou o suporte da sua hospedagem.

Se por acaso a programação do seu site não utiliza plataformas de desenvolvimento como Drupal, WordPress ou similares, a adequação tem que ser feita manualmente e geralmente consiste de mudar as URLs do site que usam http, para https.

Quais os tipos de certificados existem?

As autoridades de certificação (CA’s) emitem e disponibilizam diferentes tipos de certificados, desde os mais simples e baratos, até os mais completos e caros.

Independentemente de qual opção que se escolha, a parte mais importante para garantir que o trânsito dos dados é feito de forma criptograda – e, portanto segura –, é a mesma.

diferença entre cada certificado, fica por conta de protocolos mais amplos de certificação e assim, um SSL mais “avançado” pode exibir informações da empresa certificada ao posicionar o cursor do mouse sobre o cadeado, ao invés de um simples ícone de cadeado ao lado da barra de endereço do navegador.

Outras informações sobre a empresa e rotinas de verificação são adicionadas ao processo de emissão do certificado, para assegurar que a empresa por trás do certificado é idônea, em certificados mais avançados e caros.

A seguir listamos os certificados comumente comercializados para simples conhecimento, mas caso você deseje ou precise de informações mais detalhadas, pode acessar a página de certificados SSL da HostMídia.

  1. Validação de Domínio / Domain Validated (DV SSL) – opção econômica, rápida e fácil implementação para proteger seu domínio, sendo mais utilizado em pequenos sites, sistemas, intranet, extranet;

  2. Validação da Organização / Organization Validated (OV SSL) – oferece autenticação completa, garantindo a criptografia HTTPS e verificando a legitimidade da empresa proprietária do site. Ideal para e-commerce, ele vai além da validação de domínio (DV), exibindo detalhes da empresa no certificado para aumentar a confiança do usuário

  3. Validação Estendida / Extended Validation (EV SSL) – é o nível mais alto de segurança e confiança disponível hoje no mercado de certificados digitais, sendo projetado para verificar rigorosamente a identidade legal e operacional de uma organização, sendo ideal para sites que lidam com dados sensíveis, como bancos, e-commerces e grandes corporações;

  4. SSL Wildcard – protege um domínio principal e todos os seus subdomínios (ex: *.seudominio.com) com um único certificado. Ele utiliza um asterisco (*) para cobrir subdomínios ilimitados (como blog., loja., email.), simplificando o gerenciamento e reduzindo custos na segurança de múltiplos endereços;

  5. Certificado de Multi-Domínios / Multi-Domain Certificate – (também conhecido como SAN – Subject Alternative Name ou UCC – Unified Communications Certificate) é um certificado SSL/TLS que protege múltiplos domínios, subdomínios ou endereços IP diferentes com um único certificado. Ele simplifica a gestão e reduz custos ao unificar a segurança de vários sites em um só lugar

Certificado gratuito é bom?

A importância que vem sendo dada ao uso de SSL em um domínio, fez surgir alguns poucos certificados SSL gratuitos, sendo que o mais popular atualmente é o Let’s Encrypt.

Basicamente e teoricamente, a camada principal de segurança, que é a criptografia, funciona e usa os mesmos protocolos dos certificados pagos.

Mas e se falhar? E se houve necessidade de suporte? Bem, nesses casos você terá que arcar com os custos e consequências da quebra da segurança, pois a empresa emissora do SSL gratuito não oferece nenhum tipo de garantia ou suporte.

É 100% por sua conta e risco!

Já quando você contrata um certificado SSL pago, você tem uma série de recursos adicionais e garantias, as quais você pode recorrer:

  • Segurança – a autoridade certificadora garante que a criptografia empregada não pode ser quebrada. Caso alguma falha ocorra e a integridade dos dados seja comprometida, há reembolso para compensação de eventuais perdas. O valor deste reembolso depende do certificado adquirido e da empresa certificadora;

  • Suporte – você conta com suporte desde o momento da instalação do certificado no seu domínio, até questões mais simples como verificações de segurança e renovação;

  • Opções – você dispõe desde as alternativas mais baratas e ainda assim seguras, até opções mais sofisticadas, completas e abrangentes de mecanismos para garantir a segurança dos dados e da empresa por trás do site;

  • Comodidade – geralmente os prazos de validação, ou seja, por quanto tempo tem validade a certificação, é maior nos certificados pagos. Sendo assim, você não tem que renovar o SSL com tanta frequência, como é o caso dos gratuitos;

  • Abrangência – se você tem subdomínios que quer que sejam cobertos pelo SSL, é indicado um pago, já que no caso dos gratuitos a cada subdomínio existente, é necessária a instalação de um gratuito individual.

O SSL protege o site?

É importante lembrar que a função do SSL é incluir uma camada de segurança na troca de dados entre o website e o dispositivo que o acessa. Isso não afeta o que acontece no dispositivo, nem no servidor.

Em outras palavras:

  • Invasões – não há influência ou proteção contra invasões decorrentes de falhas de segurança na plataforma de desenvolvimento ou do lado do administrador (ex: descoberta de senha de admin);

  • Code e SQL injection – não impede técnicas de ataque como code e SQL injection;

  • Ataques – não torna o site imune a ataques diversos, como ataques DDoS;

  • Phishing – embora desestimule que o domínio seja alvo de phishing, não impede que uma conta invadida seja usada para hospedar sites falsos de outras empresas;

  • Malwares – não tem efeito algum na prevenção de variadas classes de malwares.

Portanto, outras frentes de ameaças digitais ainda precisam ser combatidas e as devidas medidas defensivas precisam ser adotadas.

Onde posso adquirir um certificado SSL?

Assim como a HostMídia, normalmente as boas empresas de hospedagem fornecem este serviço. Se você ainda não tem um e pretende instalar em seu domínio, consulte seu hosting quanto às opções que ele lhe oferece.

Embora você possa adquirir um certificado e instalá-lo em qualquer domínio hospedado em qualquer empresa no mundo, em alguns casos é mais conveniente por questões de suporte, custo e até mesmo de integração à infraestrutura que você dispõe, que você faça a aquisição diretamente com o seu hosting.

Preciso de IP dedicado?

Hoje em dia, não é mais necessário um IP dedicado para instalar um SSL, graças à tecnologia SNI (Server Name Indication), que já é padrão global há anos. No entanto, a própria concepção de segurança do protocolo, recomenda um IP dedicado e ainda ofereça vantagens de reputação de e-mail e estabilidade.

Conclusão

Ter um certificado SSL não é mais um diferencial, mas o alicerce de qualquer site profissional. Ele protege os dados dos seus clientes, melhora seu posicionamento no Google e evita alertas de "site inseguro". Não deixe sua credibilidade para depois: verifique sua instalação hoje mesmo e garanta que sua empresa transmita a confiança que o mercado exige hoje em dia!

Artigos relacionados

Segurança
ECA Digital, a lei que protege as crianças no mundo digital
Segurança
Ataque DDoS: Entenda o que é, tipos de ataque e como evitar
Segurança
Backup: O que é, tipos e dúvidas mais comuns

Comentários ({{totalComentarios}})