Guia do comprador de certificado SSL / TLS

Ninguém gosta de saber que eles precisam fazer alguma coisa. É da natureza humana se rebelar contra isso, mas às vezes o melhor que você pode fazer é morder o lábio e seguir em frente. É o caso do mandato HTTPS que foi entregue pelo Google e pelo outro navegador no último verão.


Atualmente, qualquer site que ainda esteja sendo veiculado via HTTP é rotulado como “Não seguro”, um epíteto que ameaça tráfego e conversões. Isso significa que todo site agora precisa de um certificado SSL / TLS, o que facilita a migração para HTTPS e ajuda a proteger a comunicação entre o site e seus visitantes..

A partir de julho de 2018, o Chrome marcou todos os sites HTTP como “não seguros” (saiba mais).

Este guia abordará as coisas que você precisa considerar ao comprar um certificado SSL / TLS. Começaremos com uma breve visão geral da tecnologia antes de nos aprofundarmos nas especificidades que você precisará examinar ao decidir o certificado certo para você e seu site..

SSL / TLS 101: uma visão geral

Para se comunicar com segurança na Internet, o servidor que hospeda o site e o cliente que tenta se conectar a ele precisa usar criptografia. Criptografia é um processo matemático que torna os dados ilegíveis para qualquer pessoa, exceto uma parte autorizada. É realizado usando chaves de criptografia e, para que um cliente e um servidor se conectem com segurança, ambos precisam possuir uma cópia da mesma chave.

Isso apresenta um problema, porém, como você troca essas chaves com segurança? Se um invasor puder comprometer uma chave de criptografia, ela a tornará inútil, porque ainda pode ver todos os dados sendo trocados como se estivessem em texto sem formatação.

SSL / TLS é a solução para o problema da troca de chaves.

O SSL / TLS realiza duas coisas:

  1. Ele autentica o servidor para que os clientes saibam a que entidade estão se conectando.
  2. Facilita a troca de uma chave de sessão que pode ser usada para se comunicar com segurança

Isso pode parecer um pouco abstrato, então vamos colocar em movimento.

Sempre que um cliente tenta se conectar a um site via HTTPS – que é a versão segura do HTTP (Hypertext Transfer Protocol) que a Internet usa há décadas – ocorre uma série de interações nos bastidores entre o cliente e o servidor que hospeda o site.

Existem dois tipos de chaves de criptografia envolvidas na criptografia SSL / TLS. Existem as chaves de sessão simétricas que acabamos de mencionar. Esses podem criptografar e descriptografar e são usados ​​para se comunicar durante a própria conexão. As outras chaves são o par de chaves pública / privada. Essa forma de criptografia é chamada de criptografia de chave pública. A chave pública pode criptografar, a chave privada descriptografa.

No início, o cliente e o servidor escolherão um conjunto de cifras com suporte mútuo. Um conjunto de criptografia é o conjunto de algoritmos que governam a criptografia que será usada durante a conexão.

Depois que um conjunto de criptografia é acordado, o servidor envia seu certificado SSL e chave pública. Através de uma série de verificações, o cliente autentica o servidor, verificando sua identidade e se é o legítimo proprietário da chave pública associada.

Após essa verificação, o cliente gera uma chave de sessão (ou o segredo que pode ser usado para derivar uma) e usa a chave pública do servidor para criptografá-la antes de enviá-la ao servidor. Usando sua chave Privada, o servidor descriptografa a chave da sessão e a conexão criptografada começa (essa é a forma mais comum de troca de chaves, conforme realizada com a RSA – a troca de chaves Diffie-Hellman difere um pouco).

Se isso ainda parecer um pouco complicado, vamos simplificá-lo ainda mais.

  • Para se comunicar com segurança, ambas as partes precisam compartilhar chaves de sessão simétricas
  • SSL / TLS facilita a troca dessas chaves de sessão com criptografia de chave pública
  • Após verificar a identidade do servidor, uma chave ou segredo de sessão é criptografado com a chave pública
  • O servidor usa sua chave privada para descriptografar a chave da sessão e iniciar a comunicação criptografada

Agora, vamos falar sobre o que você, como proprietário do site, precisa considerar ao comprar ou adquirir um certificado SSL / TLS.

O que considerar ao comprar um certificado SSL / TLS?

Quando você compra um certificado SSL / TLS, toma uma decisão sobre duas questões principais:

  1. Que superfície você precisa cobrir?
  2. Quanta identidade você deseja afirmar?

Quando você pode responder a essas perguntas, escolher um certificado se torna uma questão de marca e custo, você já sabe o tipo de produto que precisa.

Agora, antes de prosseguirmos, vamos estabelecer um fato muito importante: independentemente de como você responde essas duas perguntas, todos os certificados SSL / TLS oferecem a mesma força de criptografia.

A força da criptografia é determinada por uma combinação dos conjuntos de criptografia suportados e pelo poder de computação do cliente e do servidor em cada extremidade da conexão. O certificado SSL / TLS mais caro do mercado e o totalmente gratuito facilitarão o mesmo nível de criptografia padrão do setor.

O que varia com os certificados é o nível de identidade e sua funcionalidade.

Vamos começar com quais superfícies você precisa cobrir.

1- Funcionalidade de certificado SSL / TLS

Os sites modernos evoluíram muito além do que eram nos primeiros dias da Internet, quando você ainda coloca contadores na parte inferior de uma página para rastrear o tráfego. Atualmente, as organizações têm infraestruturas da web complicadas, interna e externamente. Estamos falando de vários domínios, subdomínios, servidores de email etc..

Felizmente, os certificados SSL / TLS evoluíram ao lado de sites modernos para ajudar a protegê-los melhor. Há um tipo de certificado para todos os casos de uso, mas você deve saber qual será o seu caso de uso específico.

Vejamos os quatro tipos diferentes de certificados SSL / TLS e suas funcionalidades:

  • Domínio único – Como o nome indica, este certificado SSL / TLS é para um único domínio (nas versões WWW e não WWW).
  • Vários Domínios – Este tipo de certificado SSL / TLS é para organizações com vários sites, eles podem proteger até 250 domínios diferentes simultaneamente.
  • Curinga – Segurança para um único domínio, além de todos os subdomínios de primeiro nível que o acompanham – quantos você tiver (ilimitado).
  • Curinga de vários domínios – Um certificado SSL / TLS com funcionalidade completa, pode criptografar até 250 domínios diferentes e todos os subdomínios associados simultaneamente.

Uma palavra rápida sobre os certificados curinga. Os curingas são excepcionalmente versáteis, podem criptografar um número ilimitado de subdomínios e são capazes de proteger novos subdomínios adicionados após a emissão. Ao gerar um curinga, um asterisco (às vezes chamado de caractere curinga) é usado no nível do subdomínio que você deseja criptografar. Isso indica que qualquer subdomínio nesse nível de URL do domínio verificado está validamente associado ao par de chaves pública / privada do certificado.

2- Nível de validação do certificado SSL / TLS

Depois de descobrir quais superfícies você precisa cobrir, é hora de determinar quanta identidade você deseja afirmar. Existem três níveis de validação, que se referem à quantidade de verificação da Autoridade de Certificação que emite seu certificado SSL / TLS, que colocará você e seu site por meio de.

Três níveis de validação: Validação de Domínio, Validação da Organização e Validação Estendida.

O nível mais básico de validação é chamado Validação de Domínio. Leva apenas alguns minutos para concluir essa validação e emitir o certificado, mas fornece o mínimo de informações de identidade – autenticando apenas o servidor. Os certificados DV SSL / TLS são os mais usados, mas devido à falta de identidade, os sites que os utilizam recebem tratamento neutro no navegador.

Validação da organização fornece mais informações organizacionais, o que dá aos visitantes do seu site uma idéia melhor sobre com quem estão lidando, desde que saibam para onde procurar. Os certificados SSL / TLS OV requerem uma quantidade moderada de verificação; no entanto, eles não afirmam identidade suficiente para evitar o tratamento neutro do navegador. Os certificados SSL OV também podem proteger endereços IP dedicados. Eles são comumente usados ​​em ambientes corporativos e em redes internas.

A maior quantidade de identidade que um certificado SSL / TLS pode afirmar vem do Validação estendida nível. Os certificados EV SSL / TLS exigem uma verificação aprofundada da CA, mas afirmam informações de identificação suficientes para que os navegadores da Web forneçam sites que os implantam tratamento exclusivo – exibindo o nome da organização verificado na barra de endereços do navegador.

Uma coisa rápida a considerar em relação aos níveis e funcionalidade de validação é que os certificados EV SSL / TLS nunca são vendidos com a funcionalidade curinga. Isso se deve à natureza aberta dos certificados curinga, que discutimos na última seção.

Autoridades e preços de certificado de coleta

Agora que você sabe do que precisa, vamos falar de onde adquiri-lo. Ninguém pode emitir certificados SSL / TLS válidos, e por válido queremos dizer confiável. Você precisa passar por uma autoridade de certificação ou CA confiável. As autoridades de certificação estão sujeitas a rígidos requisitos da indústria e estão sujeitas a auditorias e análises regulares. A razão disso decorre da maneira como a Infra-estrutura de Chave Pública funciona. PKI é o modelo de confiança que sustenta o SSL / TLS, é por isso que o navegador de um usuário pode verificar a autenticidade e confiar em um determinado certificado SSL / TLS.

Embora investigar PKI e raízes esteja fora do escopo deste artigo, é importante saber que apenas CAs confiáveis ​​podem emitir certificados confiáveis. É por isso que você não pode emitir o seu próprio e autoassiná-lo. Os navegadores não teriam como confiar nele sem ajustar manualmente suas configurações.

Mas qual CA você deve escolher?

Isso depende do que você está procurando.

Para muitos sites simples que não precisam afirmar muita identidade, um certificado DV SSL / TLS gratuito da Let’s Encrypt (ou outras CAs gratuitas) é uma boa opção. Não custa nada e é suficiente para o que você precisa.

Qualquer coisa ao norte disso, ou se você não é tecnicamente experiente, deve procurar uma Autoridade de Certificação comercial como DigiCert, Sectigo, Entrust Datacard, etc..

Mas eis o seguinte: você não pode obter os melhores preços diretamente das CAs.

Você obtém a melhor combinação de preço e seleção adquirindo através de um Serviço SSL que oferece certificados SSL / TLS de várias CAs. O motivo disso é simples: esses serviços SSL adquirem certificados das CAs em massa a preços muito mais baixos do que os clientes de varejo. Isso permite que eles vendam os certificados com taxas muito reduzidas, passando a economia para os consumidores.

Em alguns casos, você pode economizar até 85% no preço de varejo sugerido pelo fabricante, passando por um serviço SSL em vez de comprar diretamente.

Lembre-se de que os serviços SSL dedicados ESPECIALIZAM-se em SSL / TLS, oferecem melhor suporte ao cliente, podem ajudá-lo a instalá-lo e sabem como otimizar suas implementações para fornecer ao seu site a melhor segurança possível.

Compare isso com as CAs gratuitas (e mesmo algumas comerciais) em que você precisa trabalhar com um sistema de tickets ou filtrar as postagens antigas do fórum para obter suporte de crowdsourcing e o valor é claro.

É verdade que, para alguns proprietários de sites com conhecimento de tecnologia, o problema de suporte não é um problema. E certamente não há nada de errado em seguir o caminho livre, se você souber apoiar tudo sozinho.

Mas para outros proprietários de sites, você está pagando menos pelo próprio certificado e mais pelo aparato de suporte que foi construído em torno dele. Você também não tem acesso a níveis mais altos de validação (OV / EV) ou funcionalidade avançada (vários domínios, curingas) com SSL / TLS gratuito. Você precisa obter os de CAs comerciais ou serviços SSL.

Então, pago ou gratuito? Tudo se resume a quão tecnicamente você ou sua organização são, além de querer funcionalidade e validação além do DV de domínio único.

Guia do comprador de SSL / TLS FAQ

Q1 A validação estendida vale a pena?

Para muitos sites, um certificado EV SSL / TLS é mais um investimento do que uma despesa. Não há outra maneira de afirmar a identidade máxima e obter o tratamento preferencial do navegador do seu site. Quando os visitantes chegam a um site e veem o nome da organização exibido na barra de endereços, isso tem um efeito psicológico profundo. Embora esse efeito seja difícil de quantificar no papel, as pesquisas constatam que as pessoas se sentem melhor em visitar sites com VE do que em sites sem ele.

Na internet, tudo conta, por isso, se você é uma organização que deseja afirmar a identidade na web, os certificados EV SSL / TLS são o melhor método disponível para fazer isso.

Q2 Você continua escrevendo SSL / TLS, o que isso significa?

SSL significa Secure Sockets Layer, e era a versão original do protocolo de criptografia que usamos para proteger nossas conexões até hoje. Chegamos ao SSL 3.0 antes que as vulnerabilidades forçassem o setor de volta à prancheta, onde o Transport Layer Security (TLS) foi projetado para ser o sucessor do SSL.

Hoje estamos no TLS 1.3, o SSL 3.0 foi quase totalmente reprovado e, até 2020, o TLS 1.0 e 1.1 também será reprovado. Embora a Internet de hoje dependa quase exclusivamente do protocolo TLS, ainda é coloquialmente conhecida como SSL.

Q3 O que são versões de protocolo SSL / TLS?

Isso está relacionado à nossa última pergunta: SSL e TLS são os dois protocolos que facilitam as conexões HTTPS e, assim como qualquer outra tecnologia, esses protocolos precisam ser atualizados periodicamente à medida que novas vulnerabilidades e ataques são descobertos. Quando você vê SSL 3.0 ou TLS 1.2, isso se refere a uma versão específica dos protocolos SSL / TLS.

Atualmente, a melhor prática é oferecer suporte ao TLS 1.2 e ao TLS 1.3, pois todas as versões anteriores foram consideradas vulneráveis ​​a alguma exploração ou outra.

Q4. O que devo saber sobre Cipher Suites?

Um conjunto de criptografia é uma coleção de algoritmos que serão usados ​​durante o processo de criptografia SSL / TLS. Eles geralmente incluem algum tipo de algoritmo de chave pública, um algoritmo de autenticação de mensagens e um algoritmo de criptografia simétrico (bloco / fluxo).

Antes de decidir sobre quais suítes Cipher devem suportar, você precisa saber do que seus servidores são capazes, o que pode significar atualizar sua biblioteca OpenSSL (ou software SSL alternativo) para a iteração mais moderna. Um conselho: usar a Criptografia de curva elíptica é preferível ao RSA.

Q5 As garantias são importantes?

É bom ter uma grande garantia com qualquer produto, e o setor SSL / TLS fornece algumas das garantias mais generosas existentes no mercado. Eles pagam no caso de a CA que emitiu seu certificado encontrar um problema que custa dinheiro à sua organização. É certo que isso não é tão comum, o que é uma espécie de endosso para certificados SSL / TLS em geral, mas também é algo que devemos deixar de mencionar.

Patrick Nohe
Sobre o autor: Patrick Nohe

Patrick Nohe começou sua carreira como repórter e colunista do Miami Herald. Ele também atua como gerente de conteúdo da The SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me