O Que É SSL/TLS?

Numa época em que algumas das nossas informações e transações mais importantes estão online, garantir a segurança das interações digitais tornou-se fundamental.

Neste guia amigável para iniciantes (que não tem medo de aprofundar!) vamos desmistificar os sistemas principais que operam por trás dos bastidores e que todo proprietário ou gerente de site precisa conhecer para preservar a privacidade do usuário e a reputação do seu negócio.

O Que É SSL?

SSL é a sigla para camada de sockets seguros. O SSL é um protocolo para manter uma conexão segura e proteger dados sensíveis, a fim de manter os usuários da internet seguros durante transações online, sequências de login e mais.

O SSL é usado em outros processos, como segurança na transferência de arquivos e proteção de aplicações de email, mas vamos nos referir principalmente a como ele impacta a segurança na internet, pois é onde ele se tornou mais reconhecido.

O Que É TLS?

A segurança da camada de transporte (TLS) é a sucessora do SSL que está em vigor hoje e lida com vulnerabilidades de maneira ainda mais eficaz.

O SSL Está Obsoleto?

O SSL passou por várias iterações desde sua introdução há décadas, com o objetivo de continuar melhorando a funcionalidade e a segurança. O TLS é apenas uma versão mais protegida e mais atual do SSL.

Na prática, tanto SSL quanto TLS referem-se à mesma coisa. No entanto, no momento em que este texto está sendo escrito, SSL ainda é o termo mais utilizado para o protocolo, então você ainda verá seu uso frequente — e nós também nos referiremos a ele frequentemente neste artigo.

Como Parece o SSL/TLS?

Quando um certificado SSL/TLS (mais sobre estes mais tarde) está em vigor e atualizado em um site, você deve ver a URL na barra de endereços começar com “HTTPS” em vez de “HTTP.” Se você não ver a URL completa, ela provavelmente aparecerá se você clicar na barra de endereços. Alguns navegadores optam por truncá-la para simplicidade.

Você também deverá ver um pequeno ícone de cadeado verde — ou às vezes de outras cores, dependendo do navegador — precedendo a URL quando o SSL/TLS estiver sendo utilizado.

O Que Faz o SSL/TLS?

SSL/TLS facilita uma conexão segura entre dois sistemas. Estes podem ser um servidor e um cliente (por exemplo, um site de compras e um navegador) ou dois servidores.

SSL/TLS utiliza criptografia e pares de chaves criptográficas para verificar a identidade dos sistemas e impedir que os dados sejam compartilhados com agentes maliciosos.

Esses dados incluem:

• Detalhes financeiros como números de cartão de crédito, informações bancárias, etc.
• Dados pessoalmente identificáveis — nome completo, número de segurança social, endereço, data de nascimento, etc.
• Documentos legais sensíveis
• Registros médicos privados
• Informações confidenciais como especificidades de clientes, segredos comerciais, etc.
• Credenciais de acesso

Como Funciona o SSL/TLS? O Aperto de Mão SSL

Com toda a base preparada, vamos ao cerne de como o SSL/TLS funciona!

SSL/TLS funciona criptografando os dados durante a transmissão para impedir que hackers acessem enquanto eles viajam através de uma rede. Nomes, endereços, números de cartões de crédito e outras informações estão entre os dados potencialmente sensíveis que o SSL/TLS é usado para proteger.

Aqui está um resumo básico de como isso é feito:

1. Quando um usuário inicia um processo protegido por SSL/TLS, como uma compra em um site, o cliente (navegador do usuário) envia um pacote de saudação para o servidor do site. Este pacote contém uma mensagem sobre a transação, tipo TLS, conjuntos de cifras e “client random”, que é uma sequência de bytes aleatórios.
2. O servidor recebe esta mensagem e responde com seu próprio pacote de saudação, contendo uma resposta à mensagem, seu certificado SSL/TLS, conjunto de cifras e “server random” — outra seleção de bytes aleatórios.
3. O cliente passa por um processo para autenticar o certificado SSL/TLS, o que comprova que o servidor é o serviço confiável que afirma ser (ou seja, não é um hacker). Em seguida, ele envia algo chamado “premaster secret” que é codificado com a chave pública do certificado SSL/TLS. A ideia é que o servidor tenha uma chave privada, que pode decodificar esta mensagem.
4. Se tudo estiver correto, o servidor possui a chave privada associada ao certificado SSL/TLS e pode decodificar o premaster secret. Após fazer isso, o servidor cria uma chave de sessão e envia as informações para o cliente.
5. Agora, tanto o cliente quanto o servidor enviam uma mensagem de “conclusão” um para o outro que é codificada com a chave de sessão. Isso indica que uma sessão segura está aberta entre os dois e qualquer dado compartilhado durante ela deve ser seguro e protegido.

Este procedimento é frequentemente chamado de aperto de mão SSL e ocorre em meros milissegundos.

Por Que SSL/TLS É Importante?

A proteção SSL/TLS é necessária em sites por várias razões:

• Para proteger as informações dos usuários
• Para construir a confiança dos clientes na marca
• Para validar a propriedade do site
• Para impedir que pessoas e programas maliciosos criem uma versão falsa do site e desviem informações sensíveis

Qualquer vez que um site exige que os usuários façam login, solicita informações pessoais ou oferece acesso a conteúdos privados — sua capacidade de manter a privacidade do usuário é crucial.

SSL/TLS contribui para a privacidade das comunicações online e tranquiliza os visitantes de que um site é confiável e seguro.

Além disso, os principais navegadores vão rotular sites HTTP sem certificados SSL/TLS como “não seguros.” Isso levanta uma grande bandeira vermelha para os visitantes e pode rapidamente levá-los a fechar a página e tentar outro site. Atualmente, sites que não investem em SSL/TLS provavelmente estão em risco de perder tráfego e receita.

Devo Desativar SSL/TLS? O Que Acontece Se Eu Fizer Isso?

Em resumo, como proprietário ou administrador de um site, é quase sempre melhor estar usando SSL/TLS do que não estar.

E isso é verdade mesmo que tu não coleites nenhuma informação do usuário no teu site.

Não apenas o SSL/TLS é crítico para a segurança de dados como já mencionamos muitas vezes — também é útil para evitar que seu site seja copiado por agentes mal-intencionados e para evitar aquela intimidante mensagem “Sua conexão não é privada” que pode afugentar muitos usuários.

Ao final de 2023, cerca de 85% dos sites estão fazendo uso de SSL/TLS para garantir seu status HTTPS.

O Que É Um Certificado SSL?

Agora, vamos adicionar um pouco de profundidade ao conceito de certificado SSL/TLS — que daqui para frente abreviaremos para certificado SSL — que introduzimos anteriormente.

Um certificado SSL é um certificado digital emitido por uma autoridade certificadora (CA). Sua função é conectar a identidade do site ao qual foi emitido a um par de chaves criptográficas — estas são as chaves pública e privada das quais já falamos.

Além de suportar transações seguras por meio de suas chaves, esses certificados também são úteis para informar aos usuários o histórico de um site e quem o possui, para que possam fazer uma avaliação por conta própria sobre sua confiabilidade.

Como usuário, você pode verificar os detalhes de um certificado SSL clicando no ícone de cadeado na barra de endereço. As informações que você pode ver aqui podem incluir:

• O nome do domínio para o qual o certificado foi emitido
• A empresa ou pessoa para quem o certificado foi emitido e por qual autoridade certificadora
• A assinatura digital da autoridade certificadora e a chave pública
• Quando o certificado foi emitido e quando expira

Se alguma informação do certificado parecer suspeita ou não corresponder ao site que você está visitando, você sabe que deve examinar mais de perto antes de compartilhar qualquer informação pessoal.

5 Tipos De Certificados SSL

Existem vários tipos de certificados SSL, com diferentes graus de validação.

Certificado SSL de Validação Estendida (EV SSL)

Os certificados SSL de validação estendida (EV SSLs) representam o nível mais alto e a forma mais cara de certificação SSL.

Para obter este nível de segurança, o solicitante deve passar por um processo de verificação de identidade. É geralmente usado por sites que hospedam transações com cartão de crédito e coletam informações sensíveis. Com um EV SSL, HTTPS e o ícone de cadeado são exibidos na barra de endereços ao lado do nome e país da empresa certificada. Todos esses detalhes apoiam a confiabilidade do site.

Certificado SSL Validado pela Organização (OV SSL)

Os certificados SSL validados por organização (OV SSLs) são semelhantes aos EV SSLs no processo de aplicação e nas informações que exibem na barra de endereços, eles apenas representam um nível de segurança e custo um pouco menores.

Os SSLs OV são geralmente usados por sites comerciais ou voltados ao público para mostrar seu compromisso em manter as informações confidenciais.

Certificado SSL Validado por Domínio (DV SSL)

Os certificados SSL validados por domínio (DV SSLs) são certificações menos seguras e menos rigorosas (e também mais baratas!) frequentemente utilizadas por blogs e outros sites informativos que não envolvem coleta de dados ou pagamentos online.

Normalmente, o processo de validação apenas exige que os proprietários de sites confirmem sua propriedade por email ou telefone. Com esta certificação, a barra de endereços geralmente exibe apenas HTTPS e um ícone de cadeado.

Certificado SSL Multi-Domínio (MD SSL)

Os certificados SSL multi-domínio (MD SSLs) também são conhecidos como nome alternativo do assunto (SAN) e certificado de comunicação unificada (UCC).

Um certificado SSL MD pode proteger vários domínios de topo bem como subdomínios — pense em en.domain.com, blog.domain.com, etc. O número de itens que ele cobrirá é determinado pela autoridade certificadora que o emite.

Cada propriedade que desejas proteger sob esta certificação precisa ser definida no momento da emissão. Para adicionar mais, o titular deve solicitar que seja atualizada e reemitida pela CA. Esta precaução torna-a mais segura do que a próxima opção.

Certificado SSL Wildcard

Os certificados SSL Wildcard fornecem segurança para um domínio e subdomínios ilimitados associados a ele.

Para sites com muitos subdomínios, esta pode ser uma maneira rápida e acessível de garantir que cada seção do seu site seja automaticamente protegida por criptografia. A desvantagem é que, se apenas um subdomínio for comprometido, outros subdomínios sob o mesmo certificado Wildcard também podem ser comprometidos.

Como Obter Um Certificado SSL em 7 Passos

Se estás pronto para aproveitar a segurança que um certificado SSL pode oferecer, estes passos básicos devem ajudar a maioria dos proprietários de sites a obterem a documentação de que precisam:

1. Escolha Seu Nível de Cobertura SSL

Quantos domínios e subdomínios você deseja proteger? Quanta segurança você precisa? Use o guia acima sobre tipos de certificado SSL para determinar qual você está procurando.

2. Gerar Uma Solicitação de Assinatura de Certificado

Uma solicitação de assinatura de certificado (CSR) é um arquivo criptografado que contém informações do negócio e do domínio, bem como as chaves privadas e públicas que seu CA precisará para criar seu certificado.

A forma como você gera um CSR varia dependendo da plataforma em que está ou do provedor de hospedagem que utiliza. A maioria dos provedores permite que você crie um CSR através do seu painel de administração. Veja como os clientes da DreamHost podem criar um CSR.

Se preferires tentar abordar esta etapa sem a ajuda do host, este guia poderá ajudar-te a identificar os passos específicos que precisas seguir.

3. Compre Seu Certificado Por Meio de Uma Autoridade Certificadora

O próximo passo é procurar uma CA de confiança para comprar o seu certificado SSL. Existem várias opções, incluindo:

• letsencrypt.org
• sectigo.com
• verisign.com

Qualquer provedor que você escolher, o site dele deve guiá-lo na seleção do seu tipo de certificado SSL, no envio do seu CSR e na conclusão da sua compra.

Os clientes da DreamHost podem adquirir um certificado SSL — gratuito ou pago — através do painel do cliente. Veja como aqui.

4. Concluir Validação (Se Necessário)

Se você escolheu um tipo de certificado altamente seguro que exige que você comprove sua identidade e/ou propriedade do site, sua CA fornecerá passos a seguir para fornecer validação.

5. Instale Seu Novo Certificado SSL

Se tudo estiver ocorrendo conforme o planejado, você agora deve ser capaz de baixar os arquivos de certificado fornecidos pelo seu CA. Agora é hora de instalá-lo em seu site.

Este é outro passo que pode variar bastante com base na plataforma do seu site, no seu provedor de hospedagem e até no tipo de certificado que você escolheu. Entre em contato com o seu provedor de hospedagem ou faça login no painel do cliente do seu host de site e procure algo chamado “configurações SSL/TLS” ou “gerenciador SSL/TLS” e siga os passos para instalar os arquivos que você baixou.

Ou, se preferir fazer por conta própria, a DigiCert tem outro guia para ajudá-lo a navegar na maioria das plataformas.

Para usuários de WordPress, a instalação de certificação SSL pode ser realizada usando um plugin como Really Simple SSL. Os clientes da DreamHost podem adicionar um certificado SSL de terceiros seguindo estas instruções.

Relacionado: O Que É Um Plugin?

6. Teste Sua Instalação SSL

Para verificar se seu certificado está instalado corretamente e funcionando adequadamente, pesquise no Google a frase “ferramenta de verificação SSL” para encontrar uma plataforma que realizará uma análise rápida para você. A CA que você utilizou também pode ter uma ferramenta de verificação SSL em seu site.

7. Redirecionar URLs HTTP

Finalmente, você precisa redirecionar qualquer URL HTTP para URLs HTTPS após instalar seu certificado SSL para garantir que os usuários acessem apenas a versão mais segura do seu site.

A DreamHost redireciona automaticamente os visitantes para a versão HTTPS do seu site assim que você adiciona um certificado SSL, e outros hosts de sites podem fazer o mesmo.

Se esta não for uma opção para você e você precisar atualizar seu servidor manualmente, temos instruções para acessar um servidor Apache ou Nginx para forçar um redirecionamento aqui.

Para usuários do WordPress, se você usou um plugin de instalação SSL, ele também pode ter serviços de migração de HTTP para HTTPS integrados. Se não, Redirection ou outro plugin poderia ser uma grande ajuda aqui.

Relacionado: O Que É Um Redirecionamento?

Os Certificados SSL Expiram?

Sim, os certificados SSL expiram.

De acordo com o Fórum de Autoridades de Certificação/Navegador, que regula tudo relacionado a SSL, os certificados devem expirar após cerca de 13 meses. Essa decisão foi tomada em resposta à Apple, que disse que não aceitaria mais certificados com períodos de validade de dois anos — o que costumava ser a norma. Quando o seu expira depende da CA que forneceu seu SSL.

A certificação SSL expira devido ao ritmo acelerado de mudanças na internet. Regulamentações que impactam a coleta de dados vêm e vão, empresas e sites mudam de mãos e pares de chaves mais antigos tornam-se menos seguros à medida que os hackers se tornam mais avançados. A recertificação dá aos proprietários de sites a oportunidade de atualizar sua segurança e às Autoridades Certificadoras tempo para revisar as informações associadas ao certificado para garantir que tudo esteja correto.

Quando um certificado SSL expira e o site não está mais protegido por esse protocolo de segurança, o navegador exibirá um aviso informando aos usuários que o site não é seguro e que eles devem prosseguir com cautela.

Claro, o vencimento de um SSL não surge do nada. A Autoridade de Certificação de onde você obteve sua documentação enviará uma notificação quando for hora de renovar. Elas geralmente começam cerca de 90 dias antes do vencimento, e recomendamos que você comece a agir sobre elas assim que as receber. E certifique-se de se inscrever para receber essas notificações em um endereço de email que você sabe que sempre verificará e terá acesso.

Como Renovar Seu Certificado SSL

Com muitos provedores de certificação SSL, os passos para atualizar o seu certificado SSL são os mesmos que obter um pela primeira vez. Então você precisará gerar um CSR, comprar um certificado SSL de uma CA, completar qualquer validação necessária, e instalar e testar o seu certificado.

Isso dito, muitos fornecedores de SSL e hospedeiros de sites estão começando a automatizar o máximo possível desse processo. Então, você pode realmente não precisar executar todos os passos todas as vezes — mas é útil saber que tipo de manutenção você poderia ter em sua responsabilidade ao considerar a certificação SSL e a manutenção do seu site.

Relacionado: Como Resolver Problemas Comuns de SSL no WordPress 

Escolha Um Host Web Que Potencialize Seus Objetivos de Segurança

Felizmente, garantir a experiência do usuário online e inspirar confiança na sua marca com cobertura SSL/TLS é um processo razoavelmente acessível. No entanto, isso não significa que todo proprietário de site terá o desejo ou o tempo para não apenas encontrar a melhor opção de certificação SSL, mas também instalá-la e mantê-la ano após ano.

Se preferires focar no lado empresarial das coisas, a equipe de pro serviços de gestão de websites da DreamHost pode apoiar os teus objetivos de segurança e experiência, cuidando de tudo desde atualizações menores até recuperação de hacking, migração de links e administração e monitoramento completos do website.