Im Zusammenhang mit digitaler Technik geht es mittlerweile nicht mehr um Rekorde à la Olympia nach dem Motto „schneller, höher, weiter“. Die Leistungsfähigkeit von Endgeräten, die immer rasanteren Übertragungsraten oder die Vielfalt an komfortablen Apps sind eine Sache. Eine andere Sache ist, dass wir beim Surfen, bei der Benutzung von Social Media und anderen Diensten im Internet praktisch jede Sekunde Fakten über uns selbst preisgeben, die nicht in jedermanns Hände gelangen sollen. Dazu gehören Adressen, Bankkonten, Kreditkartennummern und andere sensible Dados.
A palavra-chave do momento é antes: segurança. Ou: Como posso garantir ativa e passivamente que os dados que divulgo via Internet e envio ao redor do mundo sejam protegidos contra o acesso indevido por terceiros? Aqui é onde funções como SSL e TLS, métodos de criptografia projetados para garantir que eu possa viajar com segurança no mundo digital, vêm a calhar.
Como funciona um Certificado SSL
SSL (Secure Sockets Layer) é um protocolo para a autenticação e criptografia de conexões na Internet. O procedimento SSL original é agora obsoleto e foi substituído pelo TLS (Transport Layer Security). Entretanto, o termo SSL tem permanecido em linguagem comum até hoje.
Para explicar como funciona, vamos tomar como exemplo o pedido de um cliente em um loja online. Uma conexão SSL criptografada é sempre estabelecida pelo cliente (aqui o cliente). O primeiro passo é o chamado aperto de mão, no qual é gerado um parâmetro de criptografia para a sessão. O servidor da loja então responde enviando sua chave pública para o cliente com seu certificado SSL. Isto, por sua vez, envia o Certificado autenticado com base em uma lista de CAs conhecidos - Certificado ou Autoridade de Certificação = autoridade de certificação para certificados digitais. Se a CA não for conhecida, a maioria dos navegadores abre uma janela que dá ao usuário a opção de aceitar ou rejeitar o certificado sob sua própria responsabilidade.
Agora o cliente gera uma chave simétrica, que é criptografada com a chave pública do servidor e a envia de volta. Então tanto o cliente quanto o servidor conhecem o código para criptografar os dados do usuário, e a conexão segura é estabelecida.
Diferenças entre os certificados SSL comuns
Há várias variantes de certificados SSL, dependendo das necessidades do solicitante e também variando no preço. Os fatores são, por exemplo, a força de criptografia (os valores padrão são 128 Bit ou 256 Bit), o tipo de validação, assim como a compatibilidade ou aceitação do navegador.
Certificados validados de domínio (Validação de domínio)
Os certificados validados por domínio têm a mais ampla distribuição. Usando tráfego de e-mail regulamentado, a autoridade de certificação verifica se o requerente de um certificado SSL é realmente o proprietário do domínio. Após a confirmação, o certificado é emitido em um prazo muito curto. Esta variante é usada principalmente para pequenos websites, blogs, fóruns, servidores de e-mail e aplicações de intranet e é a alternativa mais barata.
Certificados validados pela organização (Organization Validation)
O processo é um pouco mais complicado com um certificado validado pela organização. Aqui, não apenas o domínio é verificado, mas também a identidade é verificada. O operador do site - geralmente uma empresa - deve provar com certos documentos que ele é realmente o proprietário do domínio. A verificação de identidade para o certificado varia de fornecedor para fornecedor. Normalmente, é necessário um extrato do registro comercial, uma comparação com os dados bancários é feita e um contato telefônico é estabelecido entre o solicitante e o provedor. Os certificados validados pela organização são adequados para sites da empresa, lojas e webmail.
validação estendida
Uma terceira versão é a Validação Estendida. Websites certificados desta forma podem ser reconhecidos pela fonte verde na linha de endereço do navegador. Este feedback visual indica que a conexão é particularmente digna de confiança. Aqueles que processam suas transações de pagamento via banco on-line estão familiarizados com isto por parte de bancos e caixas econômicas. Aqui, a autoridade de certificação procede de forma semelhante aos certificados validados pela organização, mas, adicionalmente, verifica se o requerente é realmente um funcionário da respectiva empresa e tem a autorização para adquirir um Certificado de Validação Estendida.
Os certificados EV são geralmente criptografados com 256 bit e alcançam a maior aceitação possível por todos os navegadores. Além da fonte verde já mencionada, a linha de endereço também mostra o nome e a sede da empresa.
Qual órgão de certificação é o correto?
Há um grande número de Autoridades Certificadoras (AC) em diferentes países, por isso é fácil para um cliente em potencial perder o controle. Muitas vezes não é possível descobrir qual empresa ou agência governamental está por trás deles. Os críticos agora falam de uma "loteria de certificação", que oferece pouca transparência e confiabilidade. Em qualquer caso, a Bundesdruckerei com sua subsidiária D-Trust está completamente nas mãos da Alemanha. Muitas outras agências trabalham com certificados intermediários americanos, mas desde o caso com o serviço secreto NSA, no máximo, é preciso ter dúvidas se os próprios dados são realmente protegidos por esses certificados.
O Google prefere páginas com criptografia SSL
Em 2014, o Google anunciou que o mecanismo de busca agora tem um algoritmo que dá às páginas com certificação SSL um tratamento preferencial e lhes dá uma classificação mais alta do que as páginas sem certificado. Entre os conhecedores da época, este passo foi considerado como absolutamente sensacional, pois o Google normalmente se mantém em silêncio total sobre a natureza e o modo de operação de seus algoritmos. No entanto, a empresa tem procurado melhorar cada vez mais a segurança na Internet. Esta foi provavelmente a razão da declaração pública.
Um olhar sobre o futuro da criptografia
Um projeto prospectivo em relação à criptografia é "Let's Encrypt", que está sendo conduzido pelo Grupo Californiano de Pesquisa de Segurança na Internet (ISRG). Isto deve possibilitar no futuro que cada operador de website forneça a seu domínio um certificado SSL de forma simples e completamente gratuita, que é considerado e aceito como confiável pelos navegadores comuns. Assim, as conexões HTTPS criptografadas poderiam logo se tornar o padrão da web e fornecer mais segurança e proteção de dados. Os membros do ISRG são a Mozilla Foundation, Cisco, Akamai e a Electronic Frontier Foundation.
