O que está por trás do seu cadeado de segurança?

Uma breve explicação de como companhias podem oferecer segurança completa aos seus clientes e parceiros de negócios

Todas as semanas, novas ameaças de segurança invariavelmente aparecem: dados médicos roubados ou modificados, senhas comprometidas, números de cartões roubados; o suficiente para que todos nós fiquemos preocupados quando entregamos nossas informações online a diferentes companhias por diferentes razões. Contudo, isso pode ser evitado caso você consiga diferenciar quais sites são seguros para isso.

Há um senso comum de que qualquer usuário consegue determinar se um site é seguro. Basta somente olhar para o cadeado na barra de endereço do browser seguida pelas letras HTTPS, que significa que o website está usando TLS/SSL (chamado agora por “TLS”, que é o protocolo corrente usado para encriptação) certificado para encriptar a navegação e, assim, o manejo dos dados.

Contudo, enfatizamos que devemos ir além e verificar qual certificadora emitiu o certificado e qual o tipo de validação existe para prever uma segurança forte, que partilhar suas informações com o website é realmente seguro.

“Com o advento da web, que é mais de 90% encriptada, os browsers que mostram um cadeado verde para todos os tipos de sites HTTPS independente do tipo de certificado, é uma falácia somente ‘olhar o cadeado’, uma vez que é insuficiente para proteger os usuários de site fraudulentos”, afirma Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert.

“Usuários devem ser disciplinados em procurar por pistas sobre a identidade de site, incluindo a presença de certificados de alta-garantia como a Validade Extendida (EV) que, geralmente usa a barra de endereços verde ou o nome legalizado do dono perto da URL”.

Isso promove uma excelente visibilidade de que o site foi autenticado. Organization Validated (OV) também mostra algumas informações da companhia quando você clica em “mais informações” no cadeado para ajuda-lo a verificar o site.

Outra pista é olhar o nome da Autoridade Certificadora (CA) que emitiu o certificado usado pelo website. Em alguns navegadores, os usuários podem passar o mouse sobre o cadeado para ver o nome da Autoridade Certificadora.

Isso leva as CAs, como a DigiCert, a fazerem constantes atualizações no padrão global pelos quais as Autoridades Certificadoras valida as identidades e segue rigorosos processos.

Manuel Pavón, gerente de desenvolvimento de novos produtos para a América Latina.

“É muito mais fácil para os websites obterem certificados na web hoje em dia, mas as companhias também precisam proteger sua integridade de seus próprios processos e prover uma identidade segura a seus usuários. Como líder mundial em certificados de alta-garantia, DigiCert oferece processos de validação simples, porém altamente integrados e também uma equipe de apoio às indústrias-líderes, peças e plataformas que ajudam os clientes a obterem e manejarem seus certificados. Isso promove uma web mais segura para todos”, explica Manuel Pavón, gerente de desenvolvimento de novos produtos para a América Latina.

O processo de obter e instalar um certificado TLS inclui alguns passos:

1. O primeiro passo é requerer um certificado de uma Autoridade Certificadora (CA): durante este processo, um cliente cria uma Solicitação de Assinatura de Certificado, obtém um par de chaves (pública para identificação na web e dados encriptados e privados pela segurança do que está guardado nos sistemas e dados para decodificação de dados recebidos);

2. O passo seguinte é a validação: a Certificadora Autorizada faz a revisão da documentação legal da organização para verificar se o cliente em questão controla do domínio (Domain Verification), detém o domínio e é um negócio legalizado (OV), e que o requerente é autorizado pelo dono daquele domínio a receber um certificado em seu nome. A Validação acontece em vários níveis e depende do tipo de certificado que se está buscando. Assim como um passaporte ou uma carteira de motorista, quando lidamos com questões muito sensíveis como transação de dados online, companhias podem promover uma identidade forte com o uso de certificados OV (Organization Validated) ou EV (Extended Validation).

3. Garantia: Uma vez que tudo esteja verificado, o pagamento é processado e a Autoridade Certificadora emite o certificado para a organização. DigiCert usa as mais novas tecnologias e processos para expedir o processo de garantia e fazê-lo chegar a indústria.

4. Após isso, a instalação acontece: A organização do sistema administrador deve então instalar o certificado no servidor indicado. Várias ferramentas existem para ajudar um administrador de sistema a instalar apropriadamente o Certificado e configurar o servidor. Neste link há mais informações, aqui.

5. Encriptação do Browser: O Browser comunica-se com o servidor do website para determinar a validade do certificado. Caso seja validado, o usuário pode ver um cadeado verde e o HTTPS na barra de endereços. Para maior garantia de que o site visitado é autêntico, os usuários podem procurar por sinais de um certificado de alta-garantia, incluindo o nome da organização ou a cor verde na barra de endereços.

Os certificados são trocados, isto é, se um browser usa um website, por trás da operação, o navegador web e o servidor se comunicam para estabelecerem a troca de protocolo pela conexão.

Os certificados são validados após o navegador “conversar” com o servidor e determinar se o certificado TLS está presente. Assim, o browser checa o certificado no servidor para ter certeza de que é válido e que provêm de uma Autoridade Certificada confiável.

As datas em que os certificados expiram são checados e, caso tudo esteja correto, o navegador apresenta o cadeado no HTTPS. E, finalmente, no caso de estar tudo ok, o navegador ou o browser ou a aplicação responde de maneira apropriada e se o certificado passou por todas as verificações, o navegador iniciará uma sessão segura e toda a informação é criptografada.

SSL embarcado em equipamentos médicos e carros inteligentes. Entrevista com a DigiCert

DigiCert, Microsoft e Utimaco implementam com sucesso teste com algoritmo Picnic 

O que são certificados TLS/SSL?

GlobalSign lança uma plataforma de identidades para IoT

A solução Signed HTTP Exchange do Google exibe URLs do editor para páginas AMP via TLS