O Certificado de Lowdown on the Web Server

Views: 20
0 0
Read Time:8 Minute, 52 Second

Aqui está tudo o que você não sabia sobre certificados SSL do servidor web

O que vem à mente quando você ouve a palavra “certificado do servidor web?” As pessoas que estão a quilômetros de distância das coisas nerds poderiam pensar que é algum tipo de certificado para um servidor web. Um certificado para um servidor web? Não faz sentido, faz? Bem, essa é a questão sobre esses termos. Eles soam doces e diretos na superfície, mas significam algo totalmente diferente quando descascamos as camadas de volta. “Certificado SSL do servidor Web” é um desses termos.

Neste post, vamos limpar toda a confusão que você tem em relação aos certificados do servidor web e fornecer algumas informações surpreendentes que achamos que você achará bastante interessantes. Mas antes de mergulharmos profundamente nos certificados SSL do servidor web, vamos primeiro dar uma olhada em um cenário…

Vamos Imaginar…

Vamos voltar à era da bolha ponto-com, quando há muito hype e histeria em torno da internet e das coisas que se poderia fazer com ela. Digamos que haja uma pessoa chamada Jeff que tenha uma conexão com a internet em sua casa. Agora, Jeff é o tipo de pessoa que esperaria durante a noite em longas filas para colocar as mãos em produtos eletrônicos recém-lançados. Jeff está super animado com a internet e as coisas que poderia fazer online.

Agora Jeff, através de seu amigo, ouve sobre compras online. Como esperado, Jeff diz: “Uau! Isso é tão legal” e começa a procurar coisas que ele poderia comprar usando seu cartão de crédito. Depois de passar muito tempo procurando produtos, ele decide comprar alguns livros. Ele envia seus dados pessoais e de cartão de crédito em um site que vende livros e faz um pedido no valor de US$ 150.

No dia seguinte, Jeff vai ao banco e descobre cerca de uma compra de US$ 5.000 em seu cartão de crédito. Jeff está chocado porque não fez nenhuma compra desse valor. Ele está se perguntando o que aconteceu e bloqueia seu cartão imediatamente. Então, ele vai até Bill, que curte segurança cibernética. Bill dá uma olhada no site em que Jeff fez a compra e, em um segundo, diz a ele que esse site é uma farsa. O pobre Jeff não pode fazer nada além de balançar a cabeça em descrença.

Identidade: Um dos Maiores Problemas da Internet

Quando se trata da internet, interagimos com os sites, não com a pessoa/organização real por trás desse site. Portanto, abre uma grande porta de oportunidades para hackers e fraudadores. Tudo o que eles precisam fazer é criar sites falsos que se pareçam com sites legítimos de organizações, e o resto será cuidado por pessoas como Jeff.

Vamos dar uma olhada nisso com um exemplo. Você está atualmente em nosso site, “comodosslstore.com”. E se um hacker criar um site que se pareça exatamente com o nosso site e lhe dê um nome como “comodosslstores.com?” Se o fraudador de alguma forma conseguir colocar os usuários em seu site fictício, os usuários podem facilmente cair nessa e resultar na entrega de seus dados confidenciais, como Jeff fez.

Isso é chamado de problema de identidade, e é aí que entram os certificados SSL do servidor web.

Certificados de Servidor Web: A Base da Segurança Web

Certificado de servidor Web, mais comumente conhecido como “certificado SSL”, é um tipo de certificado digital (conjunto de arquivos de dados) que fornece autenticação para um site e permite uma conexão criptografada. Em palavras mais simples, ele permite que os usuários conheçam a legitimidade de um site e protege os dados transmitidos entre um servidor web e seus usuários.

Um certificado SSL de servidor web permite que você…

  • Criptografe os dados que transmitem entre um navegador da web e um servidor web. Graças à tecnologia de criptografia usada em certificados de servidor web (certificados SSL), os dados são transformados em um formato indecifrável. Portanto, nenhum terceiro não intencional pode ver os dados em sua forma original e abusar deles. Essa criptografia depende de algoritmos matemáticos supercomplexos que são quase impossíveis de quebrar por supercomputadores, muito menos hackers medíocres.
  • Autentique, o que acontece quando um certificado de servidor web garante que você esteja se comunicando com a pessoa/organização correta, e o site não é falso. Lembra do Jeff?
  • Proteja a integridade dos dados frustrando tentativas de adulteração de dados de hackers. Como os dados permanecem criptografados entre dois pontos finais – entre um navegador da web e um servidor da web – não há espaço para qualquer entidade mal-intendida entrar no meio e alterar os dados. Dessa forma, os dados/mensagens chegam à sua forma original.

Como funciona um Certificado de Servidor Web?

Como vimos, um certificado de servidor web tem duas funções principais: autenticação e criptografia. Ambas as funções são cuidadas por uma técnica/sistema chamado “criptografia de chave pública”, também conhecida como “infraestrutura de chave pública” (PKI).

A infraestrutura de chave pública usa duas chaves criptográficas para autenticação e criptografia entre o navegador da web e o servidor da web. Essas chaves vêm em pares e são conhecidas como “chave pública” e “chave privada”. A razão pela qual essas chaves vêm em pares é que elas estão matematicamente relacionadas umas às outras.

Uma chave pública, como você pode ver pelo nome, está disponível publicamente. Qualquer um pode acessar a chave pública. Uma chave privada, como você pode adivinhar pelo nome, deve ser mantida privada. Ambas as chaves fazem parte dos arquivos conhecidos como “certificado do servidor web”.

Agora você pode estar se perguntando como tudo isso funciona exatamente. Você não é? Bem, estamos prestes a mergulhar nisso. As funções de um certificado SSL – autenticação e criptografia – ocorrem em um processo conhecido como “aperto de mão SSL”. Este aperto de mão é uma série de etapas de comunicação entre um navegador da web e um servidor da web.

Vamos ver como o aperto de mão SSL/TLS se sai.

NOTA: SIMPLIFICAMOS TODO O PROCESSO DE APERTO DE MÃO PARA MELHOR COMPREENSÃO. O PROCESSO REAL DE APERTO DE MÃO É MAIS COMPLEXO E PROFUNDO.

  1. Cliente Olá Mensagem: Primeiro, o cliente (navegador da web) inicia o aperto de mão e envia uma mensagem de “olá” para o servidor. Esta mensagem inclui versões SSL/TLS suportadas, os conjuntos de cifras e uma sequência de bytes aleatórios conhecida como cliente aleatório. Em termos simples, o navegador da web diz olá e estabelece as condições para uma comunicação adicional.
  2. Mensagem Olá do Servidor: O servidor responde ao “olá” do cliente. Em resposta às condições do navegador, ele responde enviando uma mensagem que consiste em um certificado SSL, conjuntos de cifras suportados e servidor aleatório.
  3. Autenticação e Chave Pré-Mestre: O cliente verifica a legitimidade do certificado do servidor e, ao encontrá-lo válido, cria uma chave pré-mestre para a sessão. Em seguida, ele criptografa a chave com a chave pública do servidor e envia a chave pré-mestre criptografada para o servidor.
  4. Descriptografia e Segredo Mestre: Ao receber a chave pré-mestre criptografada, o servidor a descriptografa usando sua chave privada e, em seguida, tanto o Servidor quanto o Cliente se combinam para gerar o segredo mestre.
  5. Criptografia com Chave de Sessão: Ambas as partes – cliente e servidor – criptografam e descriptografam as informações usando uma chave compartilhada. Essa chave é chamada de ‘chave de sessão’, e esse método de criptografia é chamado de criptografia simétrica. Em retrospectiva, esta é a chave que realmente criptografa e descriptografa os dados.

O Papel da Autoridade Certificadora na Verificação de Identidade

Agora você pode estar se perguntando, para onde foi a “verificação de identidade”? Bem, está bem aqui, não foi a lugar nenhum. Os certificados de servidor Web são emitidos por entidades terceirizadas confiáveis consideradas “autoridades certificadoras”. Essas autoridades certificadoras devem realizar um processo de verificação antes de emitir um certificado SSL/TLS para você.

O nível desse processo de verificação depende do tipo de certificado SSL do servidor web que você deseja emitir. Surpreso? Bem, sim, existem vários tipos de certificados de servidor web. Esses tipos são baseados no nível de validação conduzida pela autoridade certificadora (AC). Eles são:

  1. Certificado SSL de Validação de Domínio (DV)
  2. Certificado SSL de Validação da Organização (OV)
  3. Certificado SSL de Validação Estendida (EV)

1. Certificado SSL de Validação de Domínio (DV)

Certificados SSL de validação de domínio, como parece, envolvem a verificação da propriedade do domínio. Antes de emitir esse tipo de certificado de servidor web, a autoridade certificadora deve verificar a propriedade do domínio da pessoa/organização que deseja emitir um certificado SSL. Este é um processo bastante simples e totalmente automatizado. Portanto, pode ser concluído em poucos minutos. Esses certificados de servidor web são ideais para sites e blogs pessoais. Eles não são adequados para as organizações, já que os usuários não poderão ver a organização por trás do site.

2. Certificado SSL de Validação da Organização (OV)

Certificados SSL de validação da organização (OV) são certificados de nível médio que envolvem a verificação da organização/negócio. Se você é uma organização e deseja mostrar aos seus clientes que o site pertence a você, os certificados SSL do servidor web de validação da organização (OV) se encaixam na conta. Antes de emitir um certificado para uma organização, as autoridades certificadoras (ACs) verificam a propriedade do negócio

3. Certificados SSL de Validação Estendida (EV)

Certificados SSL de validação estendida (EV), como você pode adivinhar pelo nome, são o tipo mais avançado de certificados SSL. Para emitir um certificado SSL do servidor web EV, você precisa passar por um processo completo de verificação conduzido por uma autoridade de certificação (AC). Normalmente, esse processo leva cerca de 1-3 dias. O certificado é emitido após a conclusão do processo de verificação.

Palavra Final

Além das vantagens da autenticação e criptografia, um certificado SSL de servidor web oferece um impulso em seus rankings de SEO, satisfaz os requisitos PCI/DSS para aceitar pagamentos e, finalmente, estabelece a confiança e a credibilidade do usuário. Não só isso, mas não ter um certificado SSL fará com que todos os principais navegadores exibam um aviso de segurança para todos que acessam seu site. Isso, obviamente, não é uma coisa boa de forma alguma. Então, se você está pensando em obter um certificado de servidor web para o seu site, você deve ir em frente e obter um imediatamente. Se você quiser ter um certificado SSL pela autoridade de certificação (AC) mais confiável do mundo – pelo menor preço – você pode dar uma olhada em nossa gama completa de certificados SSL. Você não vai ficar mais barato em nenhum outro lugar. Nós garantimos!

FONTE: COMODO

Previous post A ascensão preocupante dos corretores de acesso inicial
Next post A divisão cultural entre as equipes de TI e TO deixa 65% das organizações incapazes de proteger ambos os ambientes

Deixe um comentário