Nos dias que correm, é fundamental que todos os dados sensíveis, transacionados entre um cliente (ex. browser) e um servidor, sejam cifrados de modo a que estes não possam ser entendidos por terceiros.
No caso dos sites, a opção mais acertada são os certificados SSL. É verdade que o utilizador pode criar os seus próprios certificados… mas valerá a pena?
O que é o SSL?
O SSL é um protocolo criptográfico baseado em cifras assimétricas (chave privada + chave pública), que tem como principal objetivo fornecer a segurança e integridade dos dados transmitidos em redes inseguras, como é o caso da Internet.
Quando um utilizador acede a um site que recorre ao SSL, o servidor envia ao cliente a chave pública deste para que esta possa cifrar a informação que vai ser passada ao servidor. Quando o servidor recebe essa informação, usa a sua chave privada para decifrar a informação transmitida pelo cliente.
Existem várias utilizações para este protocolo, como por exemplo o comércio eletrónico, servidores Web, servidores FTP, etc. Para identificar facilmente se estão a visualizar um site seguro basta verificar no URL que em vez de estar o normal http:// se encontra https:// – Saiba mais aqui.
Certificado Digital
Um certificado é um documento digital que contém informação acerca de quem o possui, nome, morada, localidade, e-mail, duração do certificado, domínio associado (Common Name) e nome da entidade que assina o certificado. Contém ainda uma chave pública e um hash que permite verificar a integridade do próprio certificado (i.e se um certificado foi alterado). Um certificado assenta numa estrutura hierárquica de confiança, cujo topo é pertença de uma Entidade Certificadora (CA Root Certificate).
Esta entidade certificadora confirma que o possuidor do certificado é quem afirma ser, e assina o certificado, impossibilitando desta forma a sua modificação. Em Portugal, a PTisp é um player de referência, sendo Gold Partner da GlobalSign e tendo sob sua gestão milhares de certificados SSL.
Google de olho em sites não HTTPS
Não é de agora que a Google tem alertado os responsáveis por sites para que estes apenas disponibilizem sites via HTTPS. Além disso, a partir do Chrome 62, a empresa das pesquisas vai começar a “marcar” sites que usem elementos para introdução de dados e que não usem HTTPS como sites não seguros, incluindo no modo Incógnito.
Nesse sentido, se o seu site não usa HTTPS, então é melhor adquirir um certificado SSL. É verdade que podem sempre criar os vossos certificados SSL, mas estes não são reconhecidos pelos browsers.
Quanto custa um certificado SSL?
O custo dos certificados variada de acordo com as “funcionalidades” que este oferece. Por exemplo, na PTISP, um certificado de domínio custa cerca de 16.0€ por ano e um WildCard (domínio e sub-domínios) custa cerca de 40,00€ por ano, sendo a sua ativação rápida, com uma chave de 2048 bits, Selo de Segurança e até tem garantia. Há também certificados SSL com características adicionais – Extended Validation / EV SSL, com validação legal de empresa ou organização que solicita sua emissão, garantindo assim maior segurança ao cliente final.
O SSL é um requisito obrigatório em sites que implementem funcionalidades de autenticação ou introdução de dados sensíveis. Caso o seu site não tenha configurado nenhum certificado SSL, de uma entidade credível, este não oferece nenhuma garantia ao utilizador que é seguro, podendo ser até clonado e usado para esquemas de phishing.
Além disso, os sites sem SSL estão vulneráveis a ataques Man-In-The-Middle, podendo os atacantes obter os dados pessoais dos utilizadores.
Como utilizadores, é importante que verifiquem se um site possui SSL (HTTPS) e se os certificados usados foram criados por uma entidade certificadora credível. Num próximo artigo vamos ensinar a instalar este tipo de certificados digitais.