Um guia rápido para certificados SSL: o que você precisa saber sobre eles e como escolher

Recentemente, a participação de certificados SSL válidos em várias zonas de domínio tende a crescer, assim como o interesse geral em tecnologias SSL. No entanto, nem todos perceberam com o que estão lidando quando ouvem essa palavra. Portanto, ainda tentaremos entender o que isso significa, e nós o ajudaremos a escolher exatamente o certificado que é necessário especificamente para o seu projeto (e é absolutamente necessário).

Para a transferência segura de dados entre o navegador do usuário e o servidor, é usada a infra-estrutura de chaves, que permite criptografar as informações transmitidas usando uma chave pública (conhecida por todos) e descriptografá-las usando uma chave privada (conhecida apenas por seu proprietário), chamada criptografia assimétrica. Esta infra-estrutura está sujeita ao padrão internacional x.509, que determina a composição do certificado eletrônico:

  • número da versão do certificado (1-3);
  • número de seqüência;
  • identificador de algoritmo de assinatura;
  • o nome da organização que emitiu o certificado;
  • período de validade do certificado;
  • o nome do detentor do certificado;
  • chave pública do titular do certificado;
  • assinatura digital

O padrão x.509 não fornece um algoritmo de criptografia específico, mas o mais comum é o RSA, que é usado em certificados SSL.

Antes de escolher um certificado, seria bom descobrir por que eles são necessários e quais funções eles executam.

Qualquer certificado SSL realiza três funções importantes de uma só vez:

  • criptografia de informação transmitida;
  • autenticação de recursos (autenticação);
  • assegurando a integridade da informação transmitida.

Assim, o usuário é mostrado que o recurso da Web ao qual o certificado está conectado pode ser confiável.

Para entender como essas três funções de certificado SSL funcionam, considere um exemplo simples. A garota Anya precisa comprar uma passagem de avião pelo site da companhia aérea e, para isso, enviar os detalhes do cartão de crédito. Para ter certeza de que seus dados não serão interceptados por terceiros, a Anya verifica a disponibilidade do certificado SSL no site da companhia aérea selecionada. Isso é simples: basta ter certeza de que, no início da barra de endereços, há uma designação da conexão https, que geralmente é destacada em verde. Confirma que os dados entre o navegador do usuário e o servidor da empresa estão criptografados. Neste caso, a companhia aérea tem duas chaves: aberta, acessível a todos, e fechada, que só ela conhece. Uma mensagem criptografada com uma chave pública só pode ser descriptografada usando uma chave privada, e uma chave privada criptografada pode ser usada com uma chave pública. Se o certificado SSL da empresa escolhida por nosso viajante foi emitido por um centro de certificação válido, o navegador da Ani o reconhece como confiável (autenticação) e criptografa seus dados usando a chave pública. Mesmo que o invasor intercepte as informações transmitidas por Anya, ele não poderá lê-las, pois não possui a chave privada para descriptografá-las.

Certificados SSL autoassinados

Obtenção de um certificado SSL é, naturalmente, custando dinheiro, enquanto é válido por um período limitado de tempo. Portanto, muitas pessoas usam os chamados certificados SSL autoassinados. Você pode gerá-los usando o painel de controle de hospedagem diretamente no servidor web, e você pode fazê-lo gratuitamente. No entanto, nem sempre é recomendável usar um certificado autoassinado.

Qualquer navegador verifica se um certificado foi emitido por uma autoridade de certificação conhecida, e se não (e esse é o caso de um certificado autoassinado), ele exibe um erro indicando "O certificado de segurança do site não é confiável!".

Tal mensagem certamente assustará um potencial cliente do recurso, e ele desejará deixá-lo, e o proprietário do site, por sua vez, perderá uma parte significativa de seu público. Portanto, se estamos falando de sites com alto tráfego ou lojas on-line, o uso de certificados SSL autoassinados não é recomendado.

Tais perigos aguardam qualquer um que não se importe com uma conexão https segura. No entanto, os certificados auto-assinados são bastante adequados para uso interno: por exemplo, dentro de uma organização pequena, cujos funcionários adicionaram um certificado aos confiáveis, pois sabem sua origem. Eles também são adequados ao usar o servidor Apache ao desenvolver e testar aplicativos.

Vulnerabilidades de segurança com certificados SSL

Falando sobre a compra de um certificado SSL, é importante entender que, por si só, não é uma varinha mágica, enquanto acenando você imediatamente aliviar-se de todos os problemas associados à segurança do site. Não importa quão complexos sejam os mecanismos de criptografia criptográfica, a autoridade final na infra-estrutura de certificado SSL ainda é pessoal e, portanto, todas as questões de confiança dependem do fator humano. Assim, em setembro de 2015, a Symantec, por engano de seus funcionários, emitiu 164 certificados ilegítimos para 76 nomes de domínio. Outro momento delicado usando certificados SSL é armazenar a chave secreta: você não pode escondê-la no cofre, isolando-a do mundo externo, porque ela é freqüentemente usada no processo de conexão HTTPS e existe a possibilidade de hackear o servidor para interceptar a chave privada. O culpado pelo hacking pode ser novamente uma pessoa - o administrador do servidor que, por algum motivo, não poderia proteger o servidor. Portanto, os proprietários de chaves privadas geralmente definem senhas neles.

Tipos de certificados SSL

Se você decidir comprar um certificado SSL de uma das autoridades de certificação, deverá descobrir quais são suas variantes. À primeira vista, é muito difícil escolher um certificado SSL entre os muitos que estão representados no mercado hoje: a diferença de preço pode chegar a 100.000 rublos, e nem sempre é claro qual das possibilidades de um certificado específico seu projeto realmente precisa. No entanto, você pode entender isso usando os quatro critérios principais que devem ser considerados ao comprar um certificado SSL:

  1. o grau desejado de confiança no recurso;
  2. o número de domínios e subdomínios para os quais o certificado é comprado;
  3. Tipo de certificado de aquisição: pessoa física ou jurídica;
  4. O tamanho das oportunidades financeiras para a aquisição do certificado

Vamos entender primeiro o primeiro item.

A validade do seu recurso pode ser confirmada por três diferentes graus de sua verificação. Assim, existem três tipos diferentes de certificados SSL que diferem no tipo de validação:

  • certificados confirmando a propriedade do domínio (validação de domínio);
  • certificados confirmando, além do domínio, a existência legal da organização (Validação da Organização);
  • certificados com Validação Estendida.

Validação de domínio

Os certificados de DV confirmam apenas o fato de que o detentor de certificado realmente possui esse domínio e é o tipo de certificado SSL mais acessível. Esses certificados são mais adequados para fóruns e sites pequenos ou blogs com poucos visitantes.

Certificado SSL deste nível:

  • fornece apenas o nível inicial de proteção;
  • disponível para pessoas físicas e jurídicas;
  • não requer o fornecimento de documentos adicionais;
  • Disponível em 5-10 minutos;
  • vai custar cerca de 1-4 mil rublos por ano.

Validação da organização

O certificado OV confirma o status comercial da organização e causa muito mais confiança do usuário do que o certificado DV. Este tipo de certificado é adequado para uma loja online e outro pequeno negócio online.

Certificado de nível de proteção OV:

  • fornece um nível médio de proteção;
  • emitida apenas para pessoas jurídicas;
  • para o registro, você deve fornecer cópias dos documentos da organização, da conta da companhia telefônica com o nome especificado da organização e o número de telefone de seu proprietário;
  • Disponível em 1-5 dias;
  • vai custar de cerca de 4.000 rublos para 50.000 rublos por ano.

Validação Estendida

Certificados SSL avançados são os mais confiáveis, mas também os mais caros. Adequado para uma organização grande e séria para a qual prestígio e segurança são importantes.

Certificado de Nível EV:

  • Oferece o mais alto nível de segurança e o mais alto nível de confiança entre outros certificados SSL.
  • emitida apenas para pessoas jurídicas;
  • os seguintes documentos adicionais são necessários para o registro: um certificado de registro fiscal, um aviso de registro de uma entidade legal, um aviso de registro como seguradora e outros;
  • suporta domínios cirílicos;
  • Disponível em 3-10 dias.
  • vai custar de cerca de 10.000 a 100.000 rublos por ano.

Após a verificação documental, o provedor também pode ligar para o número de telefone declarado da organização, concluindo assim a etapa de verificação adicional. Mas depois de passar por todo esse fluxo de trabalho, seu site terá o nível mais alto de confiança, conforme indicado pelo soquete verde com o nome da empresa na barra de endereço. Segundo ele, os usuários poderão determinar o alto status de negócios da empresa e, quando você clicar no painel, obter informações completas sobre a organização. Certificados desse tipo servem como uma excelente proteção contra phishing: devido a requisitos de verificação rigorosos, os invasores não poderão passar por todas as etapas da verificação, com o resultado de que certificados de EV “falsos” são encontrados em casos extremamente raros.

Você pergunta qual certificado escolher? Tudo depende do foco do seu site e do seu orçamento. Também é útil ver quais certificados SSL seus parceiros, concorrentes ou sites maiores usam. Por exemplo, um serviço bem conhecido para reservar hotéis ostrovok.ru usa certificado PositiveSSL Wildcard da Comodo; A popular loja online wildberries.ru usa o certificado SGC OV SSL Wildcard de segurança máxima. O site Tinkoff.ru usa um certificado SSL de certificado EV do centro de registro Thawte.

Recomendamos que os usuários verifiquem cuidadosamente o nome da empresa, pois os fraudadores podem criar uma organização "falsa" com um nome semelhante e vincular um certificado SSL a ela.

O que fazer se você precisar proteger vários subdomínios ou domínios diferentes no mesmo servidor?

Nesse caso, você precisará adquirir um certificado SAN (UCC), perfeito para projetos de vários domínios e produtos do MS Exchange. Os certificados curinga existem para proteger apenas alguns subdomínios. Ao adquirir esse certificado, você fornece criptografia não apenas para o domínio principal, mas também para um número ilimitado de subdomínios dos tipos subdomain1.domain.com, subdomain2.domain.com etc. No entanto, nem todos os provedores emitem certificados Wildcard com a proteção do domínio principal, portanto, antes de pedir, vale a pena prestar atenção especial a isso. Embora as principais vantagens de um certificado Wildcard sejam conveniência e economia (você não precisa cuidar do certificado para cada subdomínio e pagar por ele), no entanto, às vezes é mais barato comprar certificados SSL separados para cada subdomínio, especialmente se não houver muitos deles.

Vamos fazer uma pequena comparação entre os principais provedores de serviços SSL: Symantec, Thawte e Comodo. Apesar do fato de que, na verdade, todas as empresas vendem quase o mesmo produto, existem diferenças significativas no serviço. A Symantec possui a maior garantia estendida, chegando a 1.750.000 dólares. Este valor será pago em danos se a Symantec violar os termos da garantia. Além disso, a empresa possui proteção antivírus, que realiza varreduras diárias de páginas no seu host para detectar malware. Mas, vale a pena notar que eles pedem muito por essa funcionalidade - a Symantec possui os certificados mais caros de todos os três centros apresentados. A Comodo tem os certificados mais acessíveis, que também oferecem varredura antivírus e serviços de análise PCI. Thawte não oferece nenhum recurso adicional e tem uma média de todo o preço para um certificado SSL.

Gostaria de observar que hoje a maioria dos proprietários de sites adquire certificados SSL imediatamente dos provedores de hospedagem. Apesar de serem, de fato, intermediários, o preço dos certificados, à custa de grandes volumes de vendas, pode ser ainda menor do que o do próprio centro de certificação!

É importante observar que nem todos os certificados suportam IDN (nomes de domínio internacionalizados). Você pode escolher um certificado com uma taxa de preço-qualidade ideal, mas se você comprá-lo para um domínio cirílico, não é de todo um fato que ele vai atender você. Certificados SSL habilitados para IDN podem ser comprados de empresas como GlobalSign, Thawte, Comodo ou Symantec.

Em conclusão

Ao escolher um certificado SSL, observe quais certificados seus concorrentes escolheram e apenas empresas com um produto idêntico, número de público e uma maneira de trocar informações com ele. Observe também que um bom bônus para a compra de um certificado SSL será o fato de que sites com uma conexão HTTPS são classificados acima do restante do Google. Além disso, como o Google informou recentemente, todos os sites sem certificados SSL e que aceitam senhas e números de cartão de crédito serão colocados no Google Chrome como inseguros. Esse é outro motivo para pensar em adquirir um certificado SSL, especialmente porque hoje em dia uma conexão HTTPS é muito mais acessível aos usuários do que há alguns anos, e algumas empresas oferecem promoções lucrativas e até mesmo dão certificados como bônus.

Loading...

Deixe O Seu Comentário