A internet, a cada dia, se torna um meio mais usado para transações comerciais, contratação e uso dos mais variados serviços, além de servir à divulgação de informações e produtos pelas empresas.
Entretanto, também crescem os mecanismos de ameaça à segurança das informações. Recentemente, o ataque virtual ransomware WannaCry ganhou as manchetes de vários jornais, deixando maiores ainda as preocupações em relação à segurança.
Esses dois temas — aumento de compras pela internet e segurança — foram objeto de duas pesquisas recentemente.
Uma delas foi o estudo encomendado pelo Google junto à empresa Forrester Research, que indicou que as vendas pela internet no Brasil devem dobrar até 2021, chegando à marca de R$ 85 bilhões e passarão a ocupar uma fatia de 9,5% do varejo.
A outra pesquisa foi realizada pela F-Secure em diversos países. Nesse caso, revelou-se que o Brasil é o país que mais teme comprar pela internet — 84% dos brasileiros apontaram medo de ataques de hacker ao comprar pela internet.
Levando em conta as oportunidades que o mercado digital oferece e os riscos em ainda ocupam a mente dos consumidores, a segurança na web deve, sem dúvida, ser uma das preocupações mais importantes, especialmente por parte de quem empreende.
Entre as várias medidas importantes para assegurá-la, destaca-se a importância de ter um certificado SSL. Ele não apenas deixa a página mais segura, como também aumenta a confiança dos usuários ao acessá-la.
Mas o que é SSL?
SSL (Secure Socket Layer) foi um padrão desenvolvido pela empresa Netscape. Sua primeira versão foi desenvolvida em 1994.
O SSL 3.0 foi lançado em 1996 e serviu posteriormente de base para o desenvolvimento do TLS (Transport Layer Security) versão 1.0. Esse último, por sua vez, é um protocolo padronizado da IETF originalmente definido pelo RFC-2246.
Grandes instituições financeiras — como Visa, MasterCard, American Express e outras — aprovaram o SSL para comércio eletrônico seguro na Internet.
Nele, todos os dados transmitidos entre servidor e navegador são criptografados em um canal separado. Dessa forma, ele pode garantir a segurança e confiabilidade da transação de dados pela página em questão.
Quando seu cliente digita login, senha e dados de cartão de crédito, esses dados são transmitidos de forma segura. Apenas o servidor onde está hospedado o site e usa SSL, pode ler as informações.
Então, estamos falando basicamente de um processo paralelo ao carregamento do site, para que haja segurança nas informações enviadas entre PC-Servidor, correto?
Isso não aumenta o tempo de carregamento e tráfego entre as pontas?
Esse é um dos mitos do certificado SSL: de que manter a certificação cria um tempo de resposta mais lento e sobrecarrega o processo no servidor, além de outros efeitos negativos. Isso, porém, não são suposições reais.
Criar e transmitir informações por SSL não gera um tráfego exagerado na requisição de conexão com o site. Tampouco pesa no processamento do servidor, por conta da solicitação — mesmo em larga escala de solicitações.
O fato é que, gerada uma solicitação pelo usuário, ela é disparada para o servidor. Por sua vez, ele responde, gerando uma chave pública de acesso para o cliente. Em seguida, Cliente e Servidor geram chaves simétricas para a conversação dos dados — esse ato é chamado de Handshake SSL e garante a criptografia e segurança dos dados.
Essa solicitação, em plataformas como WordPress, não toma muito processamento nem carregamento, pois existem funções de compressão de cache que agilizam o processo.
De fato, pode ser que exista um pequeno acréscimo de milissegundos na solicitação. Porém, esse fato é compensado pela segurança gerada para a plataforma, tornando o site mais confiável.
Qual a importância da verificação de autenticidade?
Um certificado de segurança garante que os dados que são recebidos via browser tiveram como origem o domínio correto, e não um falso. Dessa forma, o usuário tem a segurança de que, aquelas informações que ele vê na tela foram realmente geradas pelos seus mantenedores, não por eventuais invasores.
Assim, ele pode confiar no que é exibido, seguir orientações prescritas pela página e compartilhar seu conteúdo.
Qual a necessidade da proteção dos dados?
Um tipo de invasão muito comum na internet é o hijacking — ou ataque do homem do meio. O invasor controla uma conexão estabelecida na rede enquanto ela está ativa e intercepta mensagens, substituindo a chave pública de quem troca as mensagens pela do intruso.
Ele, então, pode se passar pelo servidor de mensagens e ganha acesso a todas as informações que o cliente envia.
Em uma requisição HTTPS, com protocolo SSL, o ataque do homem do meio se torna muito mais difícil de ser bem-sucedido, pois ele teria que burlar a criptografia aplicada às mensagens.
Como o SSL ajuda na relevância do site no Google?
Em agosto de 2014, a Google oficializou que sites que possuírem certificado SSL seriam melhor pontuados no ranqueamento de páginas.
Ao pesquisar algo, a Google apresenta os resultados mais coerentes por meio do seu algoritmo de palavras-chave para indexação de conteúdo. As respostas apresentadas são, em sua maioria, páginas com assunto relevante, bem montado e, desde 2014, preferencialmente com certificado SSL.
Quando uma página pesquisada possui Certificado SSL, ela é melhor ranqueada do que uma página que não conta com o recurso, mesmo que seu conteúdo seja menos relevante que o da página não certificada.
Entretanto, o certificado também é considerado um indicador de qualidade do conteúdo. Ele indica que seu administrador se preocupa com sua a autenticidade e não quer que seu leitor seja enganado.
Qual é a percepção de segurança pelos usuários?
Ao acessar uma página com certificado SSL, bem no canto esquerdo da barra de endereços aparece um cadeado verde, que indica que a página possui certificado e, portanto, é mais segura.
Conforme o tipo de certificado, podem aparecer mais informações — como o nome do proprietário do domínio, por exemplo. Isso garante, também, a autenticidade da empresa, dona da página.
Ao clicar no cadeado, ele não apenas mostra que a conexão é criptografada ou confirma a identidade da página, mas explicita a autoridade certificadora.
Como obter um certificado?
Um certificado é adquirido junto a uma autoridade certificadora, que é uma entidade autorizada a emitir, distribuir, renovar, revogar e gerenciar certificados digitais.
Ao comprar o certificado, ele deve ser instalado e integrado ao servidor web. A partir de então, o acesso à página passa a ser considerado pelo navegador.
O administrador da página deve seguir as orientações dadas pela certificadora para realizar o processo de instalação do certificado no servidor.
Quais os tipos de certificados que podem ser encontrados?
Os tipos de certificados mais encontrados no mercado são:
Validação de domínio
É o tipo de SSL mais básico, simples de ser implementado e de menor custo. Permite a validação do domínio e faz a criptografia das trocas de mensagens.
Validação da organização
Além de garantir a autenticidade do domínio, esse tipo de certificação garante que o site pertence à organização ao qual ele faz parte. Ele fornece maior segurança, especialmente nos casos em que a página pretende armazenar informações dos usuários.
Validação estendida
Para conceder esse tipo de certificado, a autoridade certificadora faz uma análise muito mais aprofundada da empresa que pretende aderir ao certificado.
Nesse caso, além do cadeado, o nome da empresa é mostrado no canto esquerdo da barra de endereços da página, atestando que a comunicação é realmente feita com uma entidade comprovadamente capaz de ser responsável por todas as trocas de informações realizadas nessa página.
Entretanto, existem outros tipos de certificados que podem ser usados para diversos fins. As empresas que comercializam certificados podem oferecer planos e estender a segurança, aplicar uma criptografia mais poderosa ou proteger mais tipos de arquivo.
Ao adquirir o certificado, deve-se observar o tipo de criptografia. Os mais recomentados e utilizados são os algoritmos sha-2 e sha-256. A Google e Microsoft consideram o sha-1 fraco e não o reconhecem como um código que realmente dê segurança às trocas de informações na página.
É possível obter um certificado digital reconhecido gratuitamente?
Sim! A Let’s Encrypt fornece gratuitamente um certificado digital seguro, de maneira simples e que pode ser renovado de forma manual ou automática, sem custos.
Sua página (em inglês) contém os procedimentos necessários para instalação, que requer acesso via linha de comando ao servidor ou via painel, fornecido pela empresa contratada para hospedar a página.
Portanto, obter o Certificado SSL é um importante passo para que a empresa assegure que as pessoas acessem sua página de forma segura.
Ele traz muitas vantagens — como melhor ranqueamento por mecanismos de busca, especialmente o Google — e dão maior percepção de segurança aos usuários. Isso porque os navegadores passam a exibir o cadeado que indica que o domínio é certificado.
Além disso, também deixam de mostrar nos campos de envio de informação aquela mensagem de que a conexão à página não é segura. Assim, a empresa tem mais vantagens ao aproveitar o crescimento do uso da internet.
Clientes da Hostone podem, de forma bastante simplificada, ter um certificado digital gratuito e validado pela Let’s Encrypt. Assim, sua plataforma passa a ser vista com mais confiabilidade pelos seus clientes. Entre em contato conosco agora mesmo e saiba como hospedar sua página, loja virtual ou aplicação web.
A Host One oferece a possibilidade de nossos clientes utilizarem para si mesmos e ofertarem SSL Gratuito por meio do Lets Encrypt.