Entenda por que negócios de todos os tamanhos, inclusive os pequenos, precisam de certificados SSL para garantir a segurança de dados de usuários e da própria empresa É preciso assegurar que as informações em sites e aplicativos estejam minimamente seguras e uma das primeiras barreiras neste sentido é o certificado SSL. Ter um válido e ativo em seu servidor é uma forma de garantir que seu negócio é legítimo e não uma página para aplicar golpes em usuários. Pensando nisto, o TechTudo preparou um guia explicando o que são certificados SSL e por que eles são importantes para garantir a integridade dos dados e a segurança das informações de seus usuários.
🚨 ChatGPT Search: buscador rival do Google é liberado para todos os usuários
🔔 Canal do TechTudo no WhatsApp: acompanhe as principais notícias, tutoriais e reviews
Entenda o que é certificado SSL e por que ele é necessário para seu site
Raissa Delphim/TechTudo
📝 Qual é o melhor navegador de Internet da atualidade? Comente no Fórum do TechTudo
O que é um Certificado SSL?
A sigla SSL, ou Secure Sockets Layer, é um protocolo de segurança que estabelece uma conexão criptografada entre um servidor web — onde o site ou app está hospedado — e um navegador, como Chrome , Firefox, Safari. Um certificado SSL é um arquivo de dados que vincula uma chave criptográfica às informações de uma organização ou de um indivíduo, e permite conexões seguras por meio do protocolo HTTPS (Hypertext Transfer Protocol Secure), que protege dados sensíveis contra roubo ou alterações enquanto trafegam pela internet.
Etapas da negociação e validação de certificados SSL
TechTudo/Gerada no Napkin.ai
Em uma analogia bem simples, ele seria um “cofre digital” com uma chave única sem a qual não é possível ler as informações transmitidas e recebidas em um dado endereço, mesmo que elas sejam interceptadas. Como é preciso passar por algumas etapas de validação com empresas especializadas de segurança para estabelecer um certificado SSL, a prática cria uma base de confiança entre o servidor e o cliente.
Sites com certificados instalados em seus servidores passam a utilizar o protocolo HTTPS, indicando aos usuários que a conexão é segura e que seus dados estão protegidos. Essa sinalização é visível na barra de endereço dos navegadores com o ícone de um cadeado e o prefixo “https://” antes do endereço. Mais do que apenas um recurso técnico, o SSL é uma necessidade para sites que buscam garantir a privacidade dos dados e transmitir confiança ao público.
Cadeado na barra de endereço indica que usuários está navegando em página com certificado SSL válido e ativo
Reprodução/Daniel Trefilio
Para que serve um Certificado SSL?
A função principal de um certificado SSL é proteger as informações dos usuários ao navegar em sites e aplicativos, impedindo que fontes maliciosas como bots espiões ou até hackers tenham acesso a informações sensíveis como senhas, dados bancários ou dados pessoais. Além de proteger os dados de usuários, os certificados servem como ferramenta de autenticação de um site para garantir que os usuários estão interagindo com uma plataforma oficial e não páginas clonadas, projetadas para roubar dados, por exemplo.
Outro benefício para os sites é que o Google favorece endereços HTTPS e com certificados SSL válidos e ativos no ranqueamento das páginas após uma busca. Dessa forma, mesmo que uma página tenha um nome parecido com o de um serviço oficial, se ela não for validada por um serviço de certificação digital, ela não será entregue nas primeiras páginas de uma busca direta.
Páginas sem certificados SSL são mais vulneráveis a golpes, fraudes e roubo de dados de usuários
Reprodução/Freepik/rawpixel
Entre as principais funções dos certificados SSL estão:
Criptografia de dados: todos os dados trocados entre o navegador e o servidor são criptografados, tornando ilegíveis usuários sem essa chave criptográfica.
Autenticação do site: para obter o certificado é preciso passar por um processo de validação do site em empresas competentes. Isso garante que a página ou aplicativo são autênticos e não versões criadas para aplicar golpes.
Integridade dos dados: o certificado ainda garante que os dados não sejam alterados ou corrompidos durante a transmissão, impedindo que hackers interceptem a comunicação e modifiquem os dados em trânsito, garantindo que as informações recebidas sejam, de fato, as enviadas pelo servidor.
Confiança do usuário: sites com certificados SSL inspiram maior confiança nos visitantes, incentivando-os a interagir, realizar compras e compartilhar informações com mais segurança.
Como funciona um Certificado SSL?
O funcionamento dos certificados SSL é dividido em duas etapas principais: o “handshake SSL” (ou Aperto de Mão SSL, em tradução livre) e a troca de chaves e criptografia. Na primeira etapa, assim que o usuário acessa um endereço web, o navegador e o servidor daquela página iniciam uma “conversa” para estabelecer uma conexão segura. Durante essa etapa, as duas pontas da conexão trocam informações sobre o tipo do certificado SSL utilizado, como Validação de Domínio ou Validação de Organização, por exemplo, quais os tipos de criptografia suportados e outros detalhes para alinhar que tanto navegador quanto site são compatíveis para criar uma conexão segura.
Já na etapa de troca de chaves, o servidor envia o certificado SSL ao navegador, que verifica sua autenticidade em seu código, confirmando que ele foi emitido por uma Autoridade Certificadora (AC) confiável e que ele ainda é válido. É muito comum, por exemplo, sites menores ficarem temporariamente sem certificados porque ao final da validade eles optaram por trocar de AC, mas não obtiveram o novo certificado antes do fim da licença anterior.
Comparativo entre Certificados SSL de Validação de Domínio e Validação Estendida
TechTudo/Gerada no Napkin.ai
Os certificados SSL variam conforme a necessidade do serviço oferecido ou orçamento disponível pelo site para investir no protocolo, e cada um deles traz níveis diferentes de validação e recursos específicos. Os principais tipos de certificados SSL são Validação de Domínio (DV SSL), Validação de Organização (OV SSL), Validação Estendida (EV SSL), Certificado Wildcard SSL e Multi-Domínio SSL.
Por outro lado, navegadores desatualizados podem reconhecer erroneamente que páginas com certificados expirados ainda são seguras e acessá-las sem alertar o usuário sobre os riscos. Por isso, é recomendado sempre atualizar o navegador e, quando possível, utilizar um antivírus com extensão ativa para navegação.
Certificado de Validação de Domínio (DV SSL): valida apenas a propriedade do domínio, garantindo que o solicitante do certificado é o dono do domínio. É o tipo mais simples de certificado, sendo recomendado para blogs, sites pessoais e pequenos negócios que não lidam com informações sensíveis, como dados bancários.
Certificado de Validação de Organização (OV SSL): além de validar a propriedade do domínio, a AC verifica se as informações da organização, como nome, endereço e registro legal, são legítimas, aumentando a confiança do usuário, ao mostrar que o site pertence a uma empresa real e verificada. É recomendado para clientes que precisam passar credibilidade aos visitantes, como grandes portais de empresas ou organizações.
Certificado de Validação Estendida (EV SSL): passa por um processo rigoroso de validação, incluindo verificações mais robustas e detalhadas da identidade da organização, como registro legal, endereço físico e status operacional. O padrão EV SSL é mais indicado para instituições financeiras, como bancos e corretoras de valores e sites de comércio eletrônico que lidam com transações financeiras e dados altamente sensíveis. Além disso, o padrão EV utiliza criptografia 256 bits, mais avançada, por padrão, garantindo o máximo de segurança de dados.
Há ainda modalidades específicas de certificado aplicáveis aos três tipos principais de certificados SSL (DV, OV, e EV), mas que são efetivamente “ramificações” de contrato para otimizar o custo conforme a quantidade de domínios e subdomínios de uma empresa.
Comparativo entre certificados SSL de Domínio Único, Wildcard ou Multidomínio
TechTudo/Gerada no Napkin.ai
Certificado SSL Domínio Único: solução mais comum para sites com apenas um domínio, como blogs ou pequenos negócios. Tem planos de assinatura mais baratos, mas protege apenas o domínio principal (ex: www.techtudo.com.br).
Certificado Wildcard SSL: solução prática para proteger vários subdomínios com um único certificado. Ele protege o domínio principal (ex: www.techtudo.com.br) e todos os seus subdomínios (ex: forum.techtudo.globo.com/). É recomendado para sites com vários subdomínios, simplificando a gestão dos certificados e reduzindo custos.
Certificado Multi-Domínio SSL: permite utilizar um único certificado para proteger vários domínios, sendo ideal para empresas que têm vários sites com domínios diferentes, centralizando a gestão da segurança e otimizando os custos.
Exemplo de certificado SSL Multidomínio
TechTudo/Gerada no Napkin.ai
Quanto custa um Certificado SSL?
Naturalmente, o preço de um certificado SSL varia conforme o tipo de certificado e se a modalidade é para um domínio único, wildcard ou multidomínio. A Certisign é uma Autoridade Certificadora com operação no Brasil e os preços anuais para certificados DV, OV e EV de domínio único são R$ 399, R$ 599 e R$ 1.999, respectivamente. O valor para modalidades Wildcard e Multi-domínio variam segundo a quantidade de domínios e precisa ser consultado conforme a demanda de cada cliente.
Por outro lado, existem ACs mais baratas, com domínios DV custando a partir de US$ 10 por ano ou até gratuitos, no entanto, os serviços mais baratos, geralmente, operam com Certificados DV SSL, apenas com validação automática de domínio, baixa criptografia e sem garantias financeiras em caso de falhas de segurança. Outro problema dos certificados gratuitos é que eles costumam ter validades curtas, de até 90 dias, enquanto os pagos oferecem planos com até 2 anos de validade.
Certificado SSL Estendido (EV) pode custar até R$ 2 mil por ano
Reprodução/Certisign
Também por não serem tão robustos, os certificados SSL grátis são vulneráveis a golpes que clonam o certificado de um site válido e instalam no servidor de uma página ilegítima, já que a validação é apenas automatizada sem muitas etapas de verificação.
Como instalar um Certificado SSL?
Antes de mais nada, é preciso estar com o servidor ativo e registro de domínio (WHOIS) atualizado. A instalação do certificado SSL pode variar dependendo do provedor de hospedagem, mas, de maneira geral, segue cinco etapas principais: gerar uma Solicitação de Assinatura de Certificado (CSR), comprar um certificado SSL, validar o domínio, instalar o certificado e configurar o servidor.
Gerar uma CSR (Certificate Signing Request): a GoDaddy.com, por exemplo, tem um sistema assistido para gerar a CSR, bastando selecionar o tipo de servidor (cPanel, Apache, Cisco ASA, Google App Engine, etc). Durante o processo para gerar a CSR, será preciso definir qual Autoridade Certificadora será utilizada.
Comprar o Certificado SSL: além da Certisign, outras bastante conhecidas são a DigitCert, GlobalSign e Let’s Encrypt, esta última sendo gratuita, inclusive. Escolha qual certificado SSL melhor atende às demandas de seu site e conclua a compra na página da Autoridade Certificadora.
Validar o domínio: após a compra, a AC irá validar a propriedade do domínio. Isso pode ser feito por e-mail, DNS ou arquivo HTML, e o objetivo é garantir que o solicitante do certificado é realmente o dono daquele domínio. No caso das modalidades OV e EV, também será necessário confirmar outras informações, como endereço físico, CNPJ, nome fantasia e outras informações relevantes.
Instalar o certificado: uma vez que as informações estiverem validadas, o certificado SSL será enviado para o e-mail do domínio, bastando baixar e realizar a instalação no servidor. Apesar de o processo variar conforme o tipo de servidor, o painel de controle da maioria dos sites de hospedagem trazem uma interface relativamente fácil para enviar e rodar o arquivo do certificado.
Configurar o servidor: com o certificado, configure o servidor para usar o protocolo HTTPS e redirecionar todo o tráfego HTTP para HTTPS. Com isso, todas as conexões com o seu site serão seguras, mesmo que os usuários tentem acessar o domínio pelo protocolo HTTP.
Como criar um Certificado SSL gratuito?
Vale lembrar que a maioria dos sites de blog, como WordPress, Medium.com e Substack já contam com certificados SSL por padrão. Adquirir um certificado avulso só é necessário caso seu serviço esteja rodando em um servidor de hospedagem própria. Se este for o seu caso e não houver orçamento para investir em um certificado pago, é possível optar por algumas versões gratuitas.
A CloudFlare(https://www.cloudflare.com/), por exemplo, é um serviço de hospedagem que inclui certificados de segurança SSL em todos os seus planos de hospedagem, inclusive os gratuitos, justamente para facilitar a vida de clientes menores. Tanto por isso, a configuração do SSL na CloudFlare é toda realizada pelo painel de controle do próprio serviço, bastando ativar a opção desejada e configurar um DNS.
CloudFlare: é possível configurar SSL gratuito direto do painel de controle, sem necessidade de instalação via terminal
Reprodução/CloudFlare
Já a Let’s Encrypt (https://letsencrypt.org/), por exemplo, é uma Autoridade Certificadora sem fins lucrativos que oferece certificados DV SSL gratuitos. Por essa razão, sua configuração é um pouco mais complexa e exige instalação por meio de cliente ACME (Ambiente de Gerenciamento Automatizado de Certificados) ou Certbot, diretamente via comandos de terminal. Apesar de mais difícil de configurar, o certificado SSL da Let’s Encrypt é mais versátil e pode ser utilizado em qualquer serviço de hospedagem, além de dar mais controle ao administrador do servidor.
Com informações de CloudFlare (1, 2, 3, 4), Certisign (1, 2, 3), Digicert (1, 2), GoDaddy , MakeUseOf e SSL.com.
Leia também
Veja também: Melhor celular e TV de 2024: veja vencedores do prêmio do TechTudo
Melhor celular e TV de 2024: veja vencedores do prêmio do TechTudo
