Falar sobre tipos de SSL pode parecer um tema já muito batido no mercado, mas todos os dias novas empresas são criadas e se lançam no meio eletrônico, portanto precisam adquirir o SSL pela primeira vez, assim como, novos profissionais ingressam na atividade de compras e supply chain, gestão de certificados digitais e, recentemente, ainda surgiu a função do DPO – Data Protection Officer e esses profissionais precisam conhecer a diferença entre os tipos de certificados TLS/SSL.
Por Redação Crypto ID
É de extrema importância que os profissionais iniciantes na gestão dos certificados SSL saibam diferenciar o que está disponível no mercado e o que mais se adequa a sua necessidade.
As áreas de compras e supply chain precisam distinguir cada tipo de certificado digital avaliando aspectos técnicos que vão muito além do fator preço uma vez que essas áreas, após a entrada em vigor da LGPD, assumiram ainda mais responsabilidade pela aquisição de soluções de segurança que mitigam riscos de ataques cibernéticos uma vez que que podem incorrer em multas e causar problemas na reputação da empresa junto aos clientes e investidores.
Já para os DPOs – Data Protection Officer – esse conhecimento é necessário para que ao analisarem as soluções de cibersegurança tenham condições de avaliar o grau de segurança e riscos de acordo com cada tipo de certificado digital utilizado pela organização.
Desde o momento que uma empresa disponibiliza em seus sites informações institucionais ou plataformas de venda de produtos e serviços, o SSL é um item indispensável.
Esses certificados são também utilizados em sistemas de comunicação internos nas empresas e na comunicação eletrônica entre empresas por meio de plataformas específicas. Um bom exemplo disso é o nosso SPB – Sistema de Pagamento Brasileiro onde as instituições financeiras utilizam o SSL para assinatura de dados enviados ao BACEN – Banco Central do Brasil.
Com o avanço de uso de equipamentos IoT – Internet of Things, ou em português Internet das Coisas, a identificação e a criptografia, obrigatoriamente, serão necessárias para resguardar os usuários desses inúmeros equipamentos. Inclusive essa é uma recomendação do IEEE em relação ao uso de certificados digitais em equipamentos médicos. Especialistas do IEEE apontam soluções com certificados digitais para conter riscos de invasões por hackers na área da saúde.
Vamos então falar sobre os tipos de certificados digitais SSL
Para começar, vamos falar sobre a diferença entre TLS e SSL
Ambos são protocolos de segurança que utilizam certificados digitais e a troca do nome SSL para TLS, se deu em 1999, quando ocorreu a primeira atualização do protocolo sob responsabilidade do IEEE – Instituto dos Engenheiros Eletrônicos e Eletricistas – que corresponderia a versão SSL 4.0 – que a chamou de TLS 1.0.
Até então, o protocolo estava sob custódia da empresa Netscape que desenvolveu o protocolo, e na ocasião da transferência para o IEEE, não transferiu o a patente do nome SSL – Secure Sockets Layer, obrigando assim ao IEEE a criar um nome para o protocolo e assim surgiu o TLS – Transport Layer Security. Sobre isso você pode ler no artigo publicado no Crypto ID: SSL vs TLS: Quais são as diferenças entre esses protocolos?
Tipos de Certificados TLS/ SSL
Validação de Domínio (DV)
Um certificado SSL validado por domínio é emitido após a comprovação de que o proprietário tem o direito de usar seu domínio.
Isso geralmente é feito pela Autoridade Certificadora enviando um e-mail para o proprietário do domínio (conforme listado em um banco de dados WHOIS). Uma vez que o proprietário responde, o certificado é emitido.
Muitas ACs realizam verificações de fraude adicionais para minimizar a emissão de um certificado para um domínio que pode ser semelhante a um domínio de alto valor (ou seja, Micr0soft.com ou G00gle.com). Nesses exemplos, as letras “o” foram trocadas por “zero”.
O certificado DV contém apenas o nome de domínio. E, devido às verificações mínimas realizadas, este certificado é normalmente emitido mais rapidamente do que outros tipos de certificados. O navegador também exibe um cadeado, mas o exame do certificado não mostrará o nome da empresa, pois este nome não foi validado.
Este certificado SSL não atende ao mínimo recomendado para transações de comércio eletrônico.
Validação Organizacional (OV)
Para certificados OV, as Autoridades Certificadoras devem validar o nome da empresa, nome de domínio e outras informações por meio do uso de bancos de dados públicos.
As Autoridades Certificadoras também podem usar métodos adicionais para garantir que as informações inseridas no certificado sejam precisas.
O certificado emitido conterá o nome da empresa e o nome de domínio para o qual o certificado foi emitido.
Devido à essas verificações adicionais, este é o certificado mínimo recomendado para transações de comércio eletrônico, pois fornece ao consumidor informações adicionais sobre o negócio.
Validação Estendida (EV)
Os Certificados EV só são emitidos quando uma entidade passa por um procedimento de autenticação mais rigoroso, sendo verificações mais rígidas do que para os certificados OV.
Benefícios adicionais dos Certificados EV
Ao fornecer informações de identidade e endereço verificadas por terceiros mais confiáveis, os certificados EV além da criptografia e identificação da organização agregam legitimidade tanto no uso do certificado em um site quanto quando exibe um código executável.
O SSL EV sinaliza aos usuários que o código está em um canal identificado e seguro e isso auxilia na identificação de que aquela transação não se trata de uma ação de phishing, que não carrega dentro dele nenhum malware ou outras possíveis formas de fraude de identidade online.
Devido aos rigorosos procedimentos de verificação que as ACs seguem para verificar as informações sobre o solicitante, a emissão de certificados EV geralmente leva um pouco mais de tempo do que outros tipos de certificados SSL.
Todos os detalhes sobre o processo de validação e verificação estão descritos nas diretrizes definidas pelo CA/Browser Forum para a emissão dos certificados SSL EV – Validação Estendida para Organizações Privadas, Entidades Governamentais e Entidades Empresariais documento com o título de Overview of the Extended Validation SSL Vetting Process.
O Certificado SSL EV é recomendável para empresas que exibem códigos executáveis, empresas de comércio eletrônico, empresas de alta reputação e também as que buscam visibilidade orgânica nos principais buscadores do mercado global.
A seguir, o quadro comparativo entre os tipos de certificados
Quando pensamos em certificado SSL, é preciso entender que a seleção deve ser feita pelo tipo de certificado, pela forma de utilização, agregada a melhor oferta comercial que foi obtida no momento da compra.
Uma mesma organização pode adquirir diferentes tipos de certificados SSL. Os tipos estão apresentados acima que são os DVs, OVs e EVs e suas diferenças giram, basicamente, em torno do processo da validação. Sua organização terá como opção adquirir os certificados para uso de acordo com sua estratégia de gestão.
Como podem ser emitidos os Certificados SSL?
Existem basicamente 3 opções para a emissão dos certificados SSL que são: o Domínio Único, SANs Multi-domínios e Wild Cards.
Na sequência dos nossos artigos publicados aqui no Crypto ID sobre SSL, vamos apresentar as diferenças entre Domínio Único, SANs Multi-domínios e Wild Cards.
Qual é o melhor certificado SSL? Seria o EV?
Não existe um Certificado Digital SSL melhor que o outro e nem a melhor opção de forma de emissão.
Cada combinação do tipo de SSL e forma de emissão tem seu emprego e isso dependerá da infraestrutura que o certificado será inserido, por exemplo, é preciso ser levado em conta se o certificado será emitido para domínios internos ou externos.
Em relação ao tipo de emissão dependerá também da infraestrutura, mas principalmente, do volume de domínios que a organização detém e de outras inúmeras particularidades.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
