Funcionalidade SSL, TLS

Em conexão com a tecnologia digital, não é mais uma questão de recordes à la Olympia de acordo com o lema "mais rápido, mais alto, mais longe". O desempenho dos dispositivos finais, as taxas de transferência cada vez mais rápidas ou a variedade de aplicações convenientes são uma coisa. Outra coisa é que quando navegamos na Internet, usamos as mídias sociais e outros serviços, revelamos fatos sobre nós mesmos praticamente a cada segundo, o que não deve chegar às mãos de todos. Isto inclui endereços, contas bancárias, números de cartões de crédito e outros dados sensíveis.

A palavra-chave do momento é antes: segurança. Ou: Como posso garantir ativa e passivamente que os dados que divulgo via Internet e envio ao redor do mundo sejam protegidos contra o acesso indevido por terceiros? Aqui é onde funções como SSL e TLS, métodos de criptografia projetados para garantir que eu possa viajar com segurança no mundo digital, vêm a calhar.

Como funciona um Certificado SSL

SSL (Secure Sockets Layer) é um protocolo para a autenticação e criptografia de conexões na Internet. O procedimento SSL original é agora obsoleto e foi substituído pelo TLS (Transport Layer Security). Entretanto, o termo SSL tem permanecido em linguagem comum até hoje.

Para explicar como funciona, vamos tomar como exemplo o pedido de um cliente em um loja online. Uma conexão SSL criptografada é sempre estabelecida pelo cliente (aqui o cliente). O primeiro passo é o chamado aperto de mão, no qual é gerado um parâmetro de criptografia para a sessão. O servidor da loja então responde enviando sua chave pública para o cliente com seu certificado SSL. Isto, por sua vez, envia o Certificado autenticado com base em uma lista de CAs conhecidos - Certificado ou Autoridade de Certificação = autoridade de certificação para certificados digitais. Se a CA não for conhecida, a maioria dos navegadores abre uma janela que dá ao usuário a opção de aceitar ou rejeitar o certificado sob sua própria responsabilidade.

Agora o cliente gera uma chave simétrica, que é criptografada com a chave pública do servidor e a envia de volta. Então tanto o cliente quanto o servidor conhecem o código para criptografar os dados do usuário, e a conexão segura é estabelecida.

Diferenças entre os certificados SSL comuns

Há várias variantes de certificados SSL, dependendo das necessidades do solicitante e também variando no preço. Os fatores são, por exemplo, a força de criptografia (os valores padrão são 128 Bit ou 256 Bit), o tipo de validação, assim como a compatibilidade ou aceitação do navegador.

Certificados validados de domínio (Validação de domínio)

Os certificados validados por domínio têm a mais ampla distribuição. Usando tráfego de e-mail regulamentado, a autoridade de certificação verifica se o requerente de um certificado SSL é realmente o proprietário do domínio. Após a confirmação, o certificado é emitido em um prazo muito curto. Esta variante é usada principalmente para pequenos websites, blogs, fóruns, servidores de e-mail e aplicações de intranet e é a alternativa mais barata.

Certificados validados pela organização (Organization Validation)

O processo é um pouco mais complicado com um certificado validado pela organização. Aqui, não apenas o domínio é verificado, mas também a identidade é verificada. O operador do site - geralmente uma empresa - deve provar com certos documentos que ele é realmente o proprietário do domínio. A verificação de identidade para o certificado varia de fornecedor para fornecedor. Normalmente, é necessário um extrato do registro comercial, uma comparação com os dados bancários é feita e um contato telefônico é estabelecido entre o solicitante e o provedor. Os certificados validados pela organização são adequados para sites da empresa, lojas e webmail.

validação estendida

Uma terceira versão é a Validação Estendida. Websites certificados desta forma podem ser reconhecidos pela fonte verde na linha de endereço do navegador. Este feedback visual indica que a conexão é particularmente digna de confiança. Aqueles que processam suas transações de pagamento via banco on-line estão familiarizados com isto por parte de bancos e caixas econômicas. Aqui, a autoridade de certificação procede de forma semelhante aos certificados validados pela organização, mas, adicionalmente, verifica se o requerente é realmente um funcionário da respectiva empresa e tem a autorização para adquirir um Certificado de Validação Estendida.

Os certificados EV são geralmente criptografados com 256 bit e alcançam a maior aceitação possível por todos os navegadores. Além da fonte verde já mencionada, a linha de endereço também mostra o nome e a sede da empresa.

Qual órgão de certificação é o correto?

Há um grande número de Autoridades Certificadoras (AC) em diferentes países, por isso é fácil para um cliente em potencial perder o controle. Muitas vezes não é possível descobrir qual empresa ou agência governamental está por trás deles. Os críticos agora falam de uma "loteria de certificação", que oferece pouca transparência e confiabilidade. Em qualquer caso, a Bundesdruckerei com sua subsidiária D-Trust está completamente nas mãos da Alemanha. Muitas outras agências trabalham com certificados intermediários americanos, mas desde o caso com o serviço secreto NSA, no máximo, é preciso ter dúvidas se os próprios dados são realmente protegidos por esses certificados.

O Google prefere páginas com criptografia SSL

Em 2014, o Google anunciou que o mecanismo de busca agora tem um algoritmo que dá às páginas com certificação SSL um tratamento preferencial e lhes dá uma classificação mais alta do que as páginas sem certificado. Entre os conhecedores da época, este passo foi considerado como absolutamente sensacional, pois o Google normalmente se mantém em silêncio total sobre a natureza e o modo de operação de seus algoritmos. No entanto, a empresa tem procurado melhorar cada vez mais a segurança na Internet. Esta foi provavelmente a razão da declaração pública.

Um olhar sobre o futuro da criptografia

Um projeto prospectivo em relação à criptografia é "Let's Encrypt", que está sendo conduzido pelo Grupo Californiano de Pesquisa de Segurança na Internet (ISRG). Isto deve possibilitar no futuro que cada operador de website forneça a seu domínio um certificado SSL de forma simples e completamente gratuita, que é considerado e aceito como confiável pelos navegadores comuns. Assim, as conexões HTTPS criptografadas poderiam logo se tornar o padrão da web e fornecer mais segurança e proteção de dados. Os membros do ISRG são a Mozilla Foundation, Cisco, Akamai e a Electronic Frontier Foundation.

Artigos atuais