28jul
Certificado SSL Weblink

A importância do Certificado SSL

Por: Rafael H. julho 28, 2017

Como vimos anteriormente aqui no blog, o Certificado SSL é uma peça indispensável para garantir que a navegação em seu site seja segura. Isso principalmente para o e-commerce, em que a troca de dados entre o cliente e a página é a base da transação comercial. Por isso ressaltamos novamente a importância do Certificado SSL para proteger o seu site e os seus clientes de ataques cibernéticos.

Depois de entender a importância, vamos agora mergulhar mais profundamente nos detalhes do Certificado SSL, como ele surgiu, como funciona a criptografia que ele usa para proteger os dados e como ocorre o sistema de certificação de confiança.

O protocolo HTTPS é criado com o Certificado SSL. Quer saber mais sobre outros protocolos de internet? Veja em nosso post!

Histórico

A evolução das tecnologias de informação inseriu as nossas vidas cada vez mais para dentro da internet. É lá que hoje a gente controla nossas finanças, realiza transações bancárias e faz compras, tudo sem sair de casa. Ao mesmo tempo que esta evolução nos trouxe facilidades, novas ameaças surgiram: nossos dados estão vulneráveis a ataques e invasões.

Logicamente, chegamos até aqui porque a tecnologia acompanhou as necessidades de segurança na internet. Na World Wide Web, uma das principais ferramentas de segurança são os protocolos da Transport Layer Security (Segurança da Camada de Transporte), que são a evolução da SSL (Security Sockets Layer, padrão criado pela Netscape em 1994). Apesar da mudança no nome, a sigla SSL ainda é utilizada.

A funcionalidade mais presente da SSL é no protocolo HTTPS. Esta sigla está presente nos nossos navegadores (Firefox, Chorme) na barra de endereço, acompanhado do ícone de um cadeado. Ele é a garantia que a conexão entre a nossa máquina e o servidor onde o website está hospedado seja segura, protegendo nossos dados privados como o número de cartão de crédito, os documentos de identidade etc.

Como funciona

O padrão SSL garante que as conexões entre cliente e servidor sejam privadas, integrais e autenticadas. Ou seja, quando efetuamos uma compra via e-commerce, é indispensável que nossos dados bancários, como o número do cartão de crédito, sejam enviados ao servidor onde o website está hospedado em segredo. Ao mesmo tempo, o site precisa ter certeza de que os dados foram enviados corretamente, para evitar equívocos como cobranças erradas. Por fim, a autenticação, feita por uma entidade externa e com autoridade, garante que essa troca de dados entre usuário e servidor seja confiável.

Privacidade, integridade e autenticação dos dados são os três elementos por trás dos Certificados SSL. Cada um deles funciona de uma forma diferente, e juntos garantem a segurança. Vamos entender melhor, começando pelo conceito de criptografia de chave pública, conceito que sustenta a privacidade dos dados.

Veja como configurar e o SSL e Htaccess.

Criptografia de chave pública

A internet chegou onde chegou por causa da liberdade no tráfego dos dados. No começo, a privacidade ainda não era preocupação frente às possibilidades de acessar e trocar dados em nível global. Imagina só, para cada site que você acessar, precisar cadastrar login e senha? Seria inviável.

Quando começou a surgir a necessidade pela segurança de dados, os primeiros tipos de códigos eram baseados na criptografia de chave simétrica. Este tipo de criptografia servia aos propósitos básicos de segurança, mas mostrou-se falho quando posto à prova por tentativas de violação da integridade das mensagens: mesmo enviadas em segredo, elas poderiam ser alteradas entre remetente e destinatário, confundindo o entendimento.

Para solucionar este problema surgiu o conceito de criptografia de chave pública, ou chave assimétrica. No mundo da computação, existe uma metáfora que ilustra e ajuda a entender bem os dois conceitos: por exemplo, Romeu e Julieta, o casal proibido, precisam trocar mensagens de amor entre si em segredo, sem que as famílias descubram. São dois os cenários:

No primeiro, Romeu e Julieta compram uma só caixa para colocar as cartas e um cadeado para trancá-la. Cada um possui uma cópia da chave deste mesmo cadeado. No começo, a caixa está com Romeu, que escreve sua mensagem de amor, coloca dentro da caixa, tranca o cadeado e manda seu mensageiro entregar, confidencialmente, para Julieta. A donzela recebe o pacote e destranca o cadeado com sua chave. Depois de ler a carta, escreve uma resposta e tranca a caixa com o mesmo cadeado antes de enviar de volta.

Tudo parece seguro, mas neste caso muitas coisas podem acontecer: como são duas chaves iguais, dobram as chances de alguém, o pai de Julieta por exemplo, roubar uma delas e fazer uma cópia. Com essa cópia, além de ler a carta, o sogro pode rasgá-la e substituir por outra mensagem com despropérios para Romeu, desfazendo o romance. Esta é a criptografia de chave simétrica.

Segundo cenário

Romeu e Julieta têm cadeados diferentes. Para se comunicarem, primeiro Julieta pede que Romeu envie seu cadeado aberto a ela, mantendo a chave consigo. Então ela escreve sua mensagem e usa o cadeado de Romeu para fechar a caixa e enviar de volta. Com a sua própria e única cópia da chave, Romeu consegue abrir a caixa e ler a carta. Para respondê-la, Romeu deve pedir que Alice envie seu cadeado aberto, repetindo o procedimento.

Neste caso, Romeu e Julieta não correm o risco de que o pai de Julieta roube uma cópia da chave do cadeado de Romeu, já que apenas ele possui uma cópia única.  Ao mesmo tempo, se a chave de Romeu for comprometida, suas mensagens para Julieta tornam-se inseguras, mas ela pode continuar usando o mesmo sistema com seu cadeado para trocar cartas com o Ricardão, por exemplo. Esta é a criptografia de chave pública.

cadeado-ssl-weblink

De volta ao computador

O que o exemplo ilustra acontece um pouco diferente em códigos matemáticos. Por exemplo, um site de e-commerce que possua o Certificado SSL instalado, tem a capacidade de criar duas chaves com uma mesma fórmula matemática: a pública e a privada. Quando o usuário acessa este site para efetuar uma compra, ele recebe do servidor a chave pública. Com ela, ele vai encriptar os dados que está enviando, como o número do cartão de crédito. Com esses dados codificados em uma linguagem ininteligível, o servidor do site vai usar a sua chave privada, que só ele tem, para abrí-la.

Em outras palavras, essa fórmula matemática criada pelo servidor com o Certificado SSL é dividida em duas chaves. A pública é distribuída para todos os usuários que precisam enviar informações ao servidor. A privada é única e fica em segredo, e serve para ler esses dados, que estão codificados. Mesmo que alguém de fora tenha acesso aos dados enviados com a chave pública, só conseguirá acessá-los se tiver acesso à chave privada correspondente.

Integridade

A integridade dos dados numa transição segura, ou seja, a certeza de que as informações recebidas são idênticas às enviadas, é garantida por Códigos Autenticadores de Mensagem (do inglês MAC, Message Authentication Code). Os MACs funcionam como o sistema de chaves simétricas: o remetente utiliza um algoritmo para criar uma etiqueta MAC, que é enviada junto com a mensagem. Ao recebê-la, o destinatário passa essa etiqueta pelo mesmo algoritmo utilizado pelo remetente, atestando assim  que recebeu o mesmo que foi enviado. (Para isso, ambos, remetente e destinatário, devem conhecer previamente o algoritmo-chave).

Autenticação

Esse sistema funciona muito bem até o momento em que um invasor decide criar um clone do site original para enganar os usuários. Com este clone, ele pode enviar chaves públicas falsas com a finalidade de arrecadar dados pessoais. Para evitar isso, o sistema de envio e recebimento de chaves precisa ser autenticado por autoridades certificadoras (ACs).

As autoridades certificadoras são entidades que emitem os Certificados SSL. Para os servidores, esse certificado é um serviço cobrado: é necessário pagar para que os usuários tenham a certeza de que o site que estão acessando é confiável.

Funciona da seguinte maneira: um cliente que deseja instalar o certificado precisa emitir um par de chaves: a pública e a privada. Depois, emite um arquivo que inclui as chaves junto com informações solicitadas pela AC, como nome da empresa, localização, o algoritmo de geração das chaves etc. Isso tudo é reunido num arquivo só, chamado CSR (Certificate Sign Request, Certificado de Solicitação de Assinatura), que é assinado digitalmente pela AC.

Depois, o CSR precisa ser é assinado presencialmente pela autoridade de registro (AR), que irá confirmar a autenticidade e gerar o Certificado Digital propriamente dito..

Ao final, o Certificado Digital  e a chave privada são combinados para formar a identidade digital. Esta identidade é assegurada protegendo a chave privada dentro de um cofre protegido (os cofres podem tanto ser estrutura físicas que armazenem dispositivos de memória quanto softwares).

Do lado dos usuários, os navegadores de web fazem todo o procedimento de combinar o par de chaves com as informações, gerando o CSR assinado digitalmente. Como seria inviável buscar a assinatura presencial de uma AR toda vez que um usuário quisesse efetuar uma transação segura na web, a autenticação mais rigorosa fica para o servidor.

No Brasil, as autoridades certificadoras pertencem ao sistema ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), órgão público vinculado ao Instituto Nacional de Tecnologia da Informação que estabelece a hierarquia das ACs, credenciando e auditando todo o sistema.

Veja outros benefícios do Certificado SSL neste post!

Conclusão

O sistema do Certificado SSL reúne três metodologias que asseguram a privacidade, a integridade e a autenticidade das transações de dados pela internet. A criptografia de chave pública, os MACs e o sistema de hierarquia de Autoridades Certificadoras (ACs) só funcionam plenamente quando combinados — sozinhos, estão expostos aos riscos cibernéticos. Certificado SSL é fundamental principalmente para sites de e-commerce, pois garantem aos clientes que seus dados pessoais e bancários não serão expostos.

Trackback URL: https://www.weblink.com.br/blog/tecnologia/importancia-certificado-ssl/trackback/

Deixar resposta:

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *