Desvendando os certificados SSL grátis

Notícias

Podemos dizer que a popularização dos certificados SSL no tráfego de informações de qualquer site na internet é uma das notícias mais importantes que tivemos este ano. Não por menos, afinal ela veio em um momento onde recebemos notícias diárias sobre vazamentos de informações sigilosas, dados pessoais, grandes invasões. Resumindo, com nossas vidas cada dia mais passando por meios digitais a segurança de dados se tornou importante demais para ser utilizada por apenas poucos.

Mas porque tivemos este ano como um marco para esta popularização da segurança da internet? Simples. Graças ao lançamento oficial da autoridade Certificadora Let’s Encrypt™ feito neste ano, agora qualquer site, loja virtual, blog ou portal de informações pode desfrutar da segurança do cadeado verde que acompanha o campo de URL em nosso navegador, sem pagar nada por isto. A autoridade que é desenvolvida e mantida pela Linux Foundation fornece certificados SSL de forma gratuita e automatizada.

Além disto, sua api de integração fácil permitiu o desenvolvimento de interfaces para sua aplicação em empresas de hospedagem. Nossas as hospedagens compartilhadas e hospedagem cloud, por exemplo, já possuem esta integração e renovação completamente atualizadas utilizando a certificação Let’s Encrypt™.

Correndo atrás desta tendência, a autoridade certificadora Comodo, em conjunto com o CPanel, também começou a disponibilizar uma versão de seu SSL gratuitamente. Ela se dá pela ferramenta AutoSSL implementada pelo CPanel em sua distribuição 58.

O que está por traz de tanta segurança e de forma gratuita?

No caso da Let’s Encrypt™, as regras de segurança são desenvolvidas e mantidas pelo ISRG (Internet Security Research Group. Ou Grupo de pesquisa em segurança da internet, em português) na califórnia. O projeto faz parte do Linux foundation Collaborative Projects. Dado isto podemos confirmar um bom ar de confiança ao projeto.

A Let’s Encrypt™ foi responsável por implementar um novo protocolo chamado ACME. Este protocolo tem o intuito de tornar mais simples a obtenção e a configuração de certificados SSL. Apesar de sua implementação ser mais simples, isto não prejudica a segurança. Os certificados emitidos baseiam-se nas melhores práticas de segurança TLS. Além disto, eles possuem chaves de criptografia de até 4096bits.

O funcionamento por traz da validação de um domínio

O sistema Let’s Encrypt™ valida um domínio através de um processo de “challenges” (desafios) onde o servidor que controla determinado domínio precisa comprovar o controle do domínio que deseja ativar o certificado.

Funciona assim, o servidor proprietário do domínio perguntará ao Let’s Encrypt™ o que é preciso fazer para provar o controle de um determinado domínio. A entidade então irá retornar algumas opções de validação, como por exemplo, através de um registro de DNS ou através de uma URI.

Durante o processo a Let’s Encrypt™ CA irá disponibilizar um código único que deverá ser assinado, com o par de chaves privadas, pelo agente validador e assim, provar que ele controla as chaves privadas.

Assim que concluído este passo, deve ser criado um arquivo no caminho especificado no site em questão. O agente validador deve assinar o código com sua chave privada. Finalizadas estas questões o Let’s Encrypt™ poderá checar o arquivo que foi colocado no servidor web para ter a garantia da validade deste domínio. Se a validade é garantida seu certificado será ativado e poderá ser visto através do navegador.

Validando certificado
Processo de validação do certificado SSL Let’s Encrypt

Certificado SSL automatizado

A parte boa nisto tudo é que o sistema do Let’s Encrypt é totalmente automatizado e aberto. Assim, já é possível encontrar serviços que disponibilizam a instalação dos certificados sem que seja necessário realizar todo o processo de validação da forma mais dolorosa. É o caso, por exemplo, da nossa plataforma de gerenciamento de hospedagem. Através de uma interface simples é possível ativar e revogar certificados. E o processo de renovação é feito automaticamente após os 90 dias de validade do certificado.

Ativação de SSL Grátis pela DialHost
Ativação de SSL Grátis pela DialHost

A evolução do Mercado

O Let’s Encrypt trouxe uma perspectiva completamente nova para a segurança nas informações que circulam na internet. Agora não existe mais motivos para um site permanecer sem segurança SSL. Mesmo se seu site possuir apenas o bom e velho formulário de contatos e não tiver tanta informação sigilosa esta proteção extra deve ser levada em conta. Tanto deve, que ferramentas de busca , como o Google, já começam a utilizar o uso  do HTTPS como fator de ranqueamento em suas buscas.  Existe ainda uma proposta do navegador Chrome para começar a alertar sites que não utilizam certificados SSL, como sites não seguros.

“Atualmente, o Chrome indica conexões HTTP com um indicador neutro. Isso não reflete a verdadeira falta de segurança em conexões HTTP.” Diz Emily Schechter, membra da equipe de segurança do Chrome.

E como fica o mercado SSL atual?

É claro que este mercado terá forte mudança. Com a popularização dos certificados SSL grátis o que se espera é uma queda nas vendas dos certificados SSL mais simples. É claro que isto não implica na morte dos certificados SSL pagos. Afinal, eles proporcionam, além da segurança na informação, coberturas por seguros reais. E ainda existem categorias que validam a empresa como um todo e não somente o domínio. Este último, traz ainda mais credibilidade ao usuário. No caso de compras ou operações financeiras, o certificado garante a ele estar usando o site real da empresa desejada.

E vocês o que esperam sobre os próximos passos da segurança na internet? Será que teremos ainda mais sistemas colaborativos neste intuito? Será que o mercado proprietário conseguirá trazer soluções ainda mais robustas para garantir sua privacidade?

Compartilhe

Última atualização: 5 de setembro de 2018

4 Replies to “Desvendando os certificados SSL grátis”

  1. Vinícius disse:

    Olá, meu cpanel não tem opção SSL, como proceder?

    1. Felipe Moraes disse:

      Vinicius, caso o seu painel não esteja disponível você pode solicitar através de um ticket a migração para um servidor que possua o SSL grátis.

  2. Wellington disse:

    Eu achava que nunca haveria SSL grátis, pois acreditava que para obter um certificado SSL envolveria a comprovação presencial e de documentos comprovando quem você realmente é, e isto claro tem altos custos. Agora estou confuso, como qualquer um pode obter um certificado SSL, então qualquer um por exemplo, pode registrar o domínio http://www.googlecompany.com.br e se passar pela Google, portanto vejo uma quebra de autenticidade. No entanto percebo um ganho na confidencialidade, ou seja, a informação não será legível para pessoas sem autorização, pois pelo menos a comunicação entre o usuário e o site está criptografada.

    1. Felipe Moraes disse:

      Olá Wellington, muito boa sua contestação.

      Então, o Certificado SSL na verdade é uma camada de segurança aplicada aos dados que trafegam em seu domínio. Este certificado garante uma proteção contra hackers que ficam espionando os dados digitados pelos usuários em qualquer site.

      No caso, o tipo de validação que você está explicando são os certificados SSL EV. Este tipo de certificado traz uma garantia da existência da empresa no mercado. Ou seja, ela não valida apenas o domínio mas, também a idoneidade da empresa. Claro que para isto este cadastro exige mais burocracias e com isto ele não é gratuito.

      A vantagem deste procedimento é que sua empresa fica validada e o seu domínio apresentará o nome da empresa em Verde na barra de URL. Isto é um grande voto de credibilidade para a internet.

      Infelizmente, isso não remove a chance de sem querer você entrar em um site fraudulento que copie a interface de um site válido e que ele possa conter um certificado SSL. Neste caso é ter atenção em detalhes como:

      Não clicar em links vindos de e-mails ou mensagens. Sempre tente digitar a URL no seu navegador ou entrar diretamente pelo site da empresa que você está querendo utilizar.

      Repare se o final do domínio que você foi direcionado está estranho ao que você costuma acessar. Como no seu exemplo, “googlecompany.com.br” não é usual de se usar para procurarmos pela Google com isto já seria algo estranho sermos direcionados para este domínio.

      Em um exemplo mais singelo e que ocorre com frequencia com bancos seria o uso de domínios do tipo “www.caixa.com” para referenciar ao site da Caixa econômica Federal “www.caixa.gov.br”.

      Muitas vezes alguns detalhes de interface são diferentes do site original. Suspeite sempre.

      Se o certificado For do tipo EV (Aparece o nome da empresa em verde no navegador) Pode ficar tranquilo que fraudes não conseguem passar na validação de empresa e por isto não terão este tipo de certificação. Até porque ela é bem mais cara.

      Espero que tenha ajudado a esclarecer sobre esta camada de proteção. Abs!

Os comentários estão bloqueados.