SSL: Tipos de certificados para proteger seu site
24 de novembro de 2014Vale a pena ler esse artigo para entender o que são os certificados SSL Domain validated – Validação de Domínio – que estão sendo distribuídos por algumas empresas gratuitamente ao mercado
Por Regina Tupinambá
Apesar de todos os avanços tecnológicos, incluindo o crescimento das transações comerciais no ambiente virtual, a questão da segurança para usuários e empresas ainda é um fator preocupante, pois muitos consumidores ainda não sabem identificar uma loja idônea daquela que pode prejudicá-los.
Porém, para ajudar neste momento e não perder vendas, os varejistas da internet já podem contar com os Certificados Digitais, ferramentas que identificam pessoas, empresas, equipamentos, aplicações e sites. Para plataformas de e-commerce a solução traz até mais de uma função.
“Para os sites, o Certificado Digital tem duas funções: identificar de forma inquestionável o site e estabelecer uma conexão segura entre o visitante e os servidores do site por meio de um canal de criptografia”, evidência Regina Tupinambá, Ceo da Insania Publicidade e Co-fundadora e Diretora de Conteúdo do CryptoID.
Regina explica ainda que no segmento de e-commerce, os Certificados para Servidores Web ou simplesmente Certificados SSL/TLS, são os que identificam os web sites e garantem a autenticidade, privacidade e a integridade dos dados de um portal na rede, proporcionando aos visitantes a garantia de que estão realmente acessando um site original e seguro, e não a uma cópia operada por criptografia, possibilita a prática do comércio eletrônico de forma segura e é sinalizado pelo Selo Site Seguro – cadeado que aparece fechado na barra inferior do browser; “S” na URL HTTPS ou a barra do navegador na cor verde.
O HTTP:// mostra HTTPS://. Desta forma, ao acessar um site, o internauta deve atentar para essas características, pois, estes sinais atestam que a comunicação entre o usuário e o site é protegida por criptografia e não pode ser interceptada por terceiros Ou seja: é um ambiente seguro para efetuar compras e navegar tranquilamente”, assegura a diretora.
De acordo com ela, existem três classes de Certificados SSL, e vale aos varejistas, observar que a classificação está diretamente relacionada à forma como a titularidade do certificado é verificada e validada.
“O valor do Certificado Digital SSL –Secure Sockets Layer, está no processo de validação das credenciais da organização para a qual será emitido o certificado. A diferença entre os certificados, fundamentalmente, é a validação de propriedade do domínio para o qual será emitido o certificado”, esclarece.
Tipos de Certificados SSL
Auto-assinados – self-signed – Certificados gerados pela própria empresa. São de uso interno e não possuem interoperabilidade com os navegadores de internet.
Validação de Domínio – domain validated – A Autoridade Certificadora apenas valida, de forma automática, a existência do domínio. A validação é feita com base nos dados cadastrados na entidade responsáveis pelo registro de domínio.
Validação de Organização – fully authenticated – A Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado, se a entidade é legalmente constituída e se a pessoa que solicitou certificado tem poder para efetuar o pedido.
Para as operações no comércio eletrônico, os certificados com Validação de Organização – fully authenticated – são os mais indicados por proporcionarem maior segurança à empresa, aos usuários e aos clientes.
“Além de certificar que a empresa está legalmente constituída, assegura que a mesma está em operação e que o domínio do Certificado é de sua propriedade”, justifica Regina Tupinambá
É possível encontrá-los em duas categorias:
Certificados SSL/TLS – se apresenta por meio da figura de uma chave ou cadeado na barra do browser para indicar a comunicação segura.
Certificado SSL/TLS EV – Extended Validation
Certificado SSL/TLS EV – Extended Validation – se apresenta por meio das cores nos navegadores da web: verde para seguro e vermelho para sites com algum problema de identidade.
Regina enfatiza ainda que estes certificados são acompanhados pelo selo de segurança das Autoridades Certificadoras emissoras, mas, adverte que apenas o selo não é garantia de proteção.
“O visitante deve verificar se o selo é verdadeiro”.
A verificação leva menos de 5 segundos e, as empresas precisam entender o quanto a ação de educar os clientes e usuários a verificarem os selos pode beneficiá-las. O clique e verifique dá muito conforto aos visitantes e faz com que pesquisas transformem-se em compras”, garante.
Certificados de validação de domínios – Atenção redobrada na escolha
É importante observar também que os Certificados Digitais de Validação de Domínio – domain validated não trazem valor às relações de confiança na internet. Pelo contrário, confundem os visitantes que imaginam estar seguros pela presença da criptografia.
“Na verdade, a criptografia pode estar levando os dados diretamente para hackers. São certificados muito frágeis pela falta de processo de verificação de propriedade, pois só faz a criptografia dos dados, não cumprindo a função fundamental de um Certificado Digital que é identificar a titularidade para o qual o Certificado é emitido.
Os Certificados de validação de domínios são utilizados por sites muito pequenos e por empresas que iniciam no e-commerce. O preço de mercado é muito inferior aos SSLs, pois é emitido por máquinas sem nenhuma interação humana”, orienta.
Certificados WildCards – Atenção redobrada na escolha
Outro tipo de Certificado não recomendável ao e-commerce são os chamados Certificados WildCards, pois permitem que uma única chave seja instalada em mais de um servidor.
“Não é utilizado por empresas que movimentam muitas informações sensíveis de clientes, pois segue na direção contrária das boas práticas de segurança da informação. Mesmo as pequenas empresas só utilizam em servidores internos, nunca nos servidores que abrigam os sites da organização. Não é comum, mas algumas empresas de porte utilizam este tipo de certificado em servidores internos, porém possuem políticas de segurança de alto nível e fazem o gerenciamento das chaves com rigorosos processos de segurança lógica e física”, justifica.
Certificados Digitais para os Múltiplos Domínios
Ainda existem os Certificados Digitais para os Múltiplos Domínios, que é um Certificado SSL desenvolvido principalmente para o uso em soluções baseadas em Comunicações Unificadas (Unified Communications), como por exemplo, Microsoft Exchange (2007 ou superior), Live Communications Server (2005 ou superior).
“Uma das características deste certificado é permitir a inclusão, no campo Subject Alternative Name (SAN), vários endereços de internet, intranet e IP’s adicionais. Com este certificado, as soluções baseadas em Comunicações Unificadas conseguem estabelecer conexões seguras (SSL/TLS) com todos os endereços e/ou IP’s que estão presentes no Certificado (Campos:Common Name e SAN)”, assegura.
Para finalizar Regina, reforça que, diante de tantas peculiaridades é muito importante que ao decidir por um Certificado Digital os varejistas verifiquem se a Autoridade Certificadora responsável pela comercialização do Certificado SSL segue as boas práticas de segurança e se é auditada por terceiros de “boa fé”.
“A Certificação Digital é baseada numa cadeia de confiança até chegar ao usuário final, mas, muitas Autoridades Certificadoras criadas recentemente para baratear o preço dos Certificados SSL e ganhar mercado, promovem o uso dos certificados sem verificação de propriedade do uso de domínio”, sintetiza Regina Tupinambá
Artigo originalmente publicado no portal do e-Commerce Brasil.