Em conexão com a tecnologia digital, não se trata mais de recordes à la Olympia de acordo com o lema "mais rápido, mais alto, mais longe". O desempenho dos dispositivos finais, as taxas de transferência cada vez mais rápidas ou a variedade de aplicações convenientes são uma coisa. Outra coisa é que quando navegamos na Internet, usamos as redes sociais e outros serviços, revelamos fatos sobre nós mesmos praticamente a cada segundo, o que não deve chegar às mãos de todos. Isto inclui endereços, contas bancárias, números de cartões de crédito e outros dados sensíveis.
A palavra-chave do momento é antes: segurança. Ou: Como posso garantir activa e passivamente que os dados que divulgo através da Internet e envio para todo o mundo são protegidos contra o acesso indevido por terceiros? Aqui é onde funções como SSL e TLS, métodos de criptografia concebidos para garantir que eu possa viajar com segurança no mundo digital, vêm a calhar.
Como funciona um Certificado SSL
SSL (Secure Sockets Layer) é um protocolo para autenticação e criptografia de conexões na Internet. O procedimento SSL original é agora obsoleto e foi substituído pelo TLS (Transport Layer Security). No entanto, o termo SSL tem permanecido em linguagem comum até hoje.
Para explicar como funciona, tomemos como exemplo o pedido de um cliente em um loja online. Uma ligação SSL encriptada é sempre estabelecida pelo cliente (aqui o cliente). O primeiro passo é o chamado aperto de mão, no qual é gerado um parâmetro de encriptação para a sessão. O servidor da loja responde então enviando a sua chave pública para o cliente com o seu certificado SSL. Isto, por sua vez, envia o Certificado autenticado com base numa lista de CAs conhecidas - Certificado ou Autoridade de Certificação = autoridade de certificação para certificados digitais. Se a AC não for conhecida, a maioria dos browsers abre uma janela que dá ao utilizador a opção de aceitar ou rejeitar o certificado sob a sua própria responsabilidade.
Agora o cliente gera uma chave simétrica, que é criptografada com a chave pública do servidor e a envia de volta. Então tanto o cliente como o servidor conhecem o código para encriptar os dados do utilizador, e a ligação segura é estabelecida.
Diferenças entre os certificados SSL comuns
Existem várias variantes de Certificados SSL, dependendo das necessidades do candidato e também variando no preço. Os fatores são, por exemplo, a força de criptografia (os valores padrão são 128 Bit ou 256 Bit), o tipo de validação, bem como a compatibilidade ou aceitação do navegador.
Certificados validados de domínio (Validação de Domínio)
Os certificados validados por domínio têm a mais ampla distribuição. Usando tráfego de e-mail regulamentado, a autoridade de certificação verifica se o requerente de um certificado SSL é realmente o proprietário do domínio. Após a confirmação, o certificado é emitido num curto espaço de tempo. Esta variante é usada principalmente para pequenos sites, blogs, fóruns, servidores de e-mail e aplicações de intranet e é a alternativa mais barata.
Certificados validados pela organização (Validação da organização)
O processo é um pouco mais complicado com um certificado validado pela organização. Aqui, não só o domínio é verificado, mas também a identidade é verificada. O operador do site - geralmente uma empresa - deve provar com certos documentos que ele é realmente o proprietário do domínio. A verificação de identidade para o certificado varia de fornecedor para fornecedor. Normalmente, é necessário um extrato do registro comercial, uma comparação com os dados bancários é feita e um contato telefônico é estabelecido entre o requerente e o provedor. Os certificados validados pela organização são adequados para sites da empresa, lojas e webmail.
validação alargada
Uma terceira versão é a Validação Estendida. Os sites certificados desta forma podem ser reconhecidos pela fonte verde na linha de endereço do navegador. Este feedback visual indica que a ligação é particularmente digna de confiança. Aqueles que processam suas transações de pagamento via banco online estão familiarizados com isso através de bancos e caixas econômicas. Neste caso, a autoridade de certificação procede de forma semelhante aos certificados validados pela organização, mas verifica adicionalmente se o candidato é realmente um empregado da respectiva empresa e tem autorização para adquirir um Certificado de Validação Alargada.
Os certificados EV são geralmente encriptados com 256 bit e alcançam a maior aceitação possível por todos os navegadores. Além da fonte verde já mencionada, a linha de endereço também mostra o nome e a sede da empresa.
Qual é o organismo de certificação certo?
Há um grande número de Autoridades Certificadoras (AC) em diferentes países, por isso é fácil para um potencial cliente perder o controle. Muitas vezes não é possível descobrir que empresa ou agência governamental está por trás deles. Os críticos falam agora de uma "loteria de certificação", que oferece pouca transparência e confiabilidade. Em qualquer caso, a Bundesdruckerei com a sua subsidiária D-Trust está completamente nas mãos da Alemanha. Muitas outras agências trabalham com certificados intermediários americanos, mas desde o caso com o serviço secreto NSA, o mais tardar, é preciso ter dúvidas se os próprios dados estão realmente protegidos por esses certificados.
O Google prefere páginas com encriptação SSL
Em 2014, o Google anunciou que o motor de pesquisa tem agora um algoritmo que dá um tratamento preferencial às páginas com certificação SSL e lhes dá uma classificação superior às páginas sem certificado. Entre os conhecedores da época, este passo era considerado absolutamente sensacional, porque o Google normalmente se mantém em silêncio total sobre a natureza e o modo de funcionamento dos seus algoritmos. No entanto, a empresa tem se empenhado em melhorar cada vez mais a segurança na Internet. Esta foi provavelmente a razão para a declaração pública.
Um olhar sobre o futuro da encriptação
Um projeto prospectivo sobre criptografia é "Let's Encrypt", que está sendo conduzido pelo Grupo Californiano de Pesquisa de Segurança na Internet (ISRG). Isto deverá permitir, no futuro, que cada operador do site forneça ao seu domínio um certificado SSL de forma simples e completamente gratuita, que é considerado e aceite como confiável pelos navegadores comuns. As conexões HTTPS criptografadas poderiam, assim, tornar-se em breve o padrão web e fornecer mais segurança e proteção de dados. Os membros do ISRG são a Mozilla Foundation, Cisco, Akamai e a Electronic Frontier Foundation.
