O que é SSL e qual tipo de certificado é ideal para você

Este artigo foi criado em parceria com GoGetSSL. Obrigado por apoiar os parceiros que tornam o SitePoint possível.

Na última década, a taxa de crimes cibernéticos aumentou drasticamente. Muitas organizações empresariais e agências governamentais de renome que não implementaram segurança online suficiente foram apanhadas de boca aberta. O Google começou a se posicionar fortemente contra sites que não usam HTTPS. Os visitantes do site serão notificados se estiverem prestes a enviar qualquer informação por meio de uma conexão não segura.

Neste artigo, você aprenderá como proteger seus clientes e sua empresa contra invasão de privacidade e roubo de dados. Você aprenderá como usar a tecnologia SSL para proteger seus sites e aplicativos contra o vazamento de dados confidenciais para bisbilhoteiros.

Não poderei mostrar a vocês como instalar SSL, pois esse é um tópico avançado. Você pode encontrar mais informações sobre o processo de instalação SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Como o SSL funciona em inglês simples

Imagine que você está em seu quarto de hotel, em seu laptop, conectado ao WIFI do hotel. Você está prestes a fazer login no portal online do seu banco. Enquanto isso, um hacker nefasto habilmente reservou um quarto ao lado do seu e montou uma estação de trabalho simples que escuta todo o tráfego de rede no prédio do hotel. Todo o tráfego que usa o protocolo HTTP pode ser visto pelo hacker em texto simples.

Supondo que o site do banco esteja usando apenas HTTP, os detalhes do formulário, como nome de usuário e senha, serão vistos pelo hacker assim que você pressionar enviar. Então, como protegemos esses dados? A resposta é obviamente criptografia. A criptografia de dados envolve a conversão de dados de texto simples em algo que parece distorcido - também conhecido como dados criptografados. Para criptografar dados de texto simples, você precisa do que é chamado de algoritmo de criptografia e chave de criptografia.

Digamos que você criptografe os seguintes dados:

Come on over for hot dogs and soda!

Será algo parecido com isto de forma criptografada:

wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf
=PAb3

Descriptografar a mensagem acima sem a chave de criptografia pode levar mais do que uma vida usando o poder de computação atual. Ninguém pode lê-lo, a menos que tenha a chave de criptografia que foi usada para criptografá-lo. Esse tipo de criptografia é conhecido como criptografia simétrica. Agora que descobrimos como proteger os dados, precisamos de uma maneira segura de transmitir a chave de criptografia ao destinatário da mensagem com segurança. Podemos fazer isso usando um sistema de criptografia assimétrica conhecido como criptografia de chave pública.

A criptografia de chave pública usa um par de chaves cifradas matematicamente relacionadas:

Chave pública: pode ser compartilhado com segurança com qualquer pessoa
Chave privada: nunca deve ser transmitido, armazenado em segredo

Quando uma chave é usada para criptografar, a outra é usada para descriptografar. A mesma chave não pode ser usada para descriptografar o que criptografou. Abaixo está uma descrição de como funciona:

algoritmo de chave pública

No entanto, não podemos confiar em nenhuma chave pública emitida para nós, pois ela pode ser gerada por qualquer pessoa. Para garantir a autenticidade das chaves públicas, elas precisam ser empacotadas no que é chamado de certificado SSL. Este é um arquivo digital assinado que contém as seguintes informações:

Nome do assunto: nome do indivíduo, organização ou máquina
chave pública
Assinatura Digital (impressão digital do certificado)
Emissor (a entidade que assinou o certificado)
Datas válidas (início e expiração)

Eu apenas listei as necessidades. Os certificados SSL geralmente contêm mais informações. Aqui está um exemplo do mundo real:

Exemplo de certificado SSL

Como você pode ver, o certificado acima foi assinado (consulte a seção de miniaturas). Uma assinatura digital é simplesmente um hash criptografado de um arquivo. Vamos primeiro explicar o que é um hash. Digamos que você tenha um documento de 100 palavras e o execute por meio de um programa de hash. Você obterá o seguinte hash:

46798b5cfca45c46a84b7419f8b74735

Se você alterar qualquer coisa no documento, mesmo que esteja adicionando um ponto final único, um hash completamente novo será gerado quando você executar a função de hash novamente:

bc527343c7ffc103111f3a694b004e2f

Uma incompatibilidade no hash entre o hash enviado e o gerado significa que o arquivo foi alterado. Esta é a primeira linha de defesa para garantir que um certificado SSL não foi alterado. No entanto, precisamos verificar se o hash enviado foi criado pelo emissor do certificado. Isso é feito criptografando o hash usando a chave privada do emissor. Quando executamos um hash local do certificado e, em seguida, descriptografamos a assinatura do certificado para obter o hash enviado, podemos comparar os dois. Se houver uma correspondência, isso significa:

o certificado não foi alterado por outra pessoa
temos a prova de que o certificado veio do emissor, uma vez que descriptografamos com sucesso a assinatura usando sua chave pública
podemos confiar na autenticidade da chave pública anexada ao certificado SSL.

verificação de assinatura

Agora, você deve estar se perguntando onde obtemos a chave pública do emissor e por que devemos confiar nela. Bem, a chave pública do emissor já vem pré-instalada em nossos sistemas operacionais e navegadores. Um emissor é uma autoridade de certificação confiável (CA) que assina certificados em conformidade com as diretrizes oficiais do CA / Browser Forum e recomendações do NIST. Por exemplo, aqui está um Lista de emissores / CAs confiáveis que você encontrará no sistema operacional da Microsoft. Até mesmo smartphones e tablets têm uma lista semelhante pré-instalada no sistema operacional e no navegador.

De acordo com uma pesquisa realizada pela W3Techs em maio de 2018, os seguintes emissores respondem por cerca de 90% dos certificados válidos assinados globalmente:

IdenTrust
Comodo
DigiCert (adquirido pela Symantec)
Vai Papai
GlobalSign

Agora que você conhece a criptografia e a tecnologia SSL, é melhor examinar como você pode entrar com segurança no portal do seu banco usando HTTPS sem que o hacker ao lado leia seu tráfego.

O navegador do seu laptop começa solicitando aos servidores do banco o certificado SSL.
O servidor o envia. Em seguida, o navegador verifica se o certificado é autêntico em relação a uma lista de CAs confiáveis. Ele também verifica se não expirou e não foi revogado.
Se tudo estiver certo, o navegador gerará um novo chave de cifra (Também conhecido como o chave de sessão) Usando a chave pública encontrada no certificado SSL, ele é criptografado e enviado ao servidor.
O servidor descriptografa a chave de sessão usando sua chave privada.
A partir de agora, todas as comunicações enviadas e recebidas serão criptografadas usando a chave de sessão. A criptografia simétrica é mais rápida do que a assimétrica.

Isso significa que os dados do formulário vindos do laptop e os dados HTML vindos do servidor serão criptografados usando uma chave de criptografia à qual o hacker não terá acesso. Tudo o que será visto nos logs de tráfego capturados serão letras e números truncados. Suas informações agora foram protegidas e mantidas em sigilo de olhos curiosos.

Agora que você entende como o SSL em geral funciona, vamos passar para a próxima seção e dar uma olhada nos diferentes tipos de certificados SSL que podemos usar.

Tipos de SSL

Certificados SSL de validação de domínio

Validação de domínio é o tipo de certificado SSL mais acessível e comum que pode ser emitido para qualquer pessoa para proteger sites de domínio público. Para adquirir este tipo de certificado SSL, você precisa provar que é o proprietário do domínio que deseja proteger. É por isso que é chamado de validação de domínio. Isso é feito de uma ou mais das seguintes maneiras:

criar um registro DNS TXT
respondendo a um e-mail enviado para o contato de e-mail cadastrado no domínio whois registros
responder a um e-mail enviado a um contato administrativo bem conhecido em seu domínio - comoadmin@domain.com
publicar um nonce fornecido por um sistema automatizado de emissão de certificados

O Google Chrome é atualmente o navegador mais popular, com cerca de 70% de participação no mercado global de navegadores de desktop, em setembro de 2019. O Google recentemente intensificou sua posição na aplicação de protocolos de segurança aos proprietários de sites para garantir que a privacidade do usuário final seja protegida. Os sites que não são protegidos são marcados como não seguros. Os usuários também ficam altamente desencorajados se tentarem enviar um formulário para um site desprotegido. Se o site tiver um certificado SSL expirado ou inválido, o site será bloqueado temporariamente.

Se você não quer perder tráfego valioso porque seu site está desprotegido, você precisa ter certeza de adquirir pelo menos um Certificado SSL de validação de domínio. Leva apenas 5–8 minutos para obter um.

IP público San SSL

Os certificados SSL são geralmente emitidos para proteger um nome de domínio totalmente qualificado - como www.domain.com. Se quiser proteger um endereço IP público, você precisará adquirir um IP SAN SSL público certificado. SAN significa Nome alternativo subjetivo, que é um campo no campo do certificado que pode ser usado para conter o endereço IP.

Wildcard SSL

Um certificado SSL normal só se aplica a um único domínio - como www.domain.com. Se você quiser proteger um subdomínio, terá que comprar um novo certificado SSL para ele. Em vez de comprar um novo certificado SSL para cada subdomínio que você gerencia, você pode simplesmente comprar um Certificado SSL curinga, que se aplicará aos seus subdomínios, ou seja, *.domain.com. É mais econômico do que comprar vários certificados SSL. Também é mais fácil administrar usando um certificado SSL.

No entanto, se um subdomínio for comprometido, isso significa que todos os subdomínios que usam o mesmo certificado estão comprometidos. Você precisará revogá-lo e solicitar um novo certificado. Você também pode compra um separadamente se você não tiver que enfrentar esse tipo de problema.

Certificados SSL de vários domínios

Como o nome sugere, você pode compra um certificado SSL de vários domínios, que fornece proteção para até 250 domínios e subdomínios. Esse tipo de certificado é particularmente útil para proteger centenas de servidores de comunicação de escritório que podem se espalhar por diferentes regiões geográficas. Mesmo que o tráfego seja restrito a uma rede corporativa, é melhor protegê-lo também usando SSL, pois é fácil para um funcionário desonesto monitorar e registrar o tráfego de todos.

Verificação de negócios mais rápida com o código LEI

Desde 2019, é possível verificar organizações globalmente por meio de um código LEI (Legal Entity Identifier). Isso simplifica e acelera significativamente o processo de verificação. As empresas podem receber um código LEI por meio de agentes de registro oficiais GLEIF.

O Identificador de Entidade Legal (LEI) é um código exclusivo para identificar qualquer empresa em todo o mundo que participe de transações financeiras. O processo é feito de acordo com o padrão internacional ISO 17442. O objetivo é ajudar a monitorar e medir o risco sistêmico e apoiar de forma eficaz e econômica a conformidade com os requisitos regulamentares de relatórios.

Resumo

Espero que agora você tenha informações suficientes para decidir qual certificado SSL comprar. Observe que os certificados SSL são válidos por apenas dois anos. Este é um recurso de segurança para garantir que as informações sobre os certificados sejam mantidas atualizadas. Ele também garante que as chaves perdidas não sejam usadas para se infiltrar no tráfego. Os certificados SSL gratuitos geralmente são válidos por 90 dias. Se quiser garantir que não se esqueça de comprar uma renovação, você pode obter um Plano de assinatura de 3 ou 4 anos. Observe que a taxa de limite de dois anos se aplica. Você será contatado no final da data de expiração para substituir o certificado por um novo. A vantagem de escolher um plano de assinatura mais longo é que você economiza dinheiro em vez de comprar anualmente.

Fonte: https://www.sitepoint.com/ssl-which-certificate/?utm_source=rss

Inteligência de dados generativa

O que é SSL e qual tipo de certificado é adequado para você

Como o SSL funciona em inglês simples

Tipos de SSL

Certificados SSL de validação de domínio

IP público San SSL

Wildcard SSL

Certificados SSL de vários domínios

Verificação de negócios mais rápida com o código LEI

Resumo

Marinha do Reino Unido comprará seis navios ao entrar na 'era de ouro' da construção naval

Proposta de regulamentos de criptografia para fundos mútuos do Canadá para 2024

Inteligência mais recente

Pesquisa considera insuficientes os avisos de saúde dos anúncios de jogos de azar

4 pontos de acesso tecnológico no Canadá que sua empresa deve conhecer

Projeto de lei bloquearia aposentadorias de F-22 e continuaria comprando F-15EX da Força Aérea

Painel da Câmara mira tamanho da Marinha e novas capacidades no projeto de defesa

Sinais de que seu filho pode estar usando maconha

A Força Espacial deveria considerar locais de lançamento alternativos, dizem os legisladores