O que é um certificado SSL? (& Por que seu site precisa de um)
Você já pagou por um nome de domínio e o registrador lhe ofereceu um certificado SSL gratuito com sua compra?
Se a resposta for “sim”, o brinde pode ter deixado você se perguntando o que é um certificado SSL e por que você precisa de um. Como você aprenderá em breve, a instalação de um certificado SSL para o seu site é extremamente importante, especialmente se o seu site coleta dados dos usuários.
Este artigo responderá a todas as suas perguntas sobre certificados SSL, incluindo os tipos disponíveis, por que você precisa de um e como instalá-lo em seu site.
Vamos entrar.
O que é um certificado SSL?
O “SSL” em “certificado SSL” significa “camada de soquetes seguros”. É um protocolo de criptografia que significa que a conexão entre um navegador e o servidor tem um nível de segurança mais alto. Tradução por favor? Aqui está a versão simples em inglês:
A atividade da maioria dos usuários da Internet se enquadra em duas categorias quando eles navegam na web: solicitando (e recebendo) informações ou enviando-as. Quando eles fazem qualquer um desses, ocorre um vai-e-vem entre o navegador (Google Chrome, Firefox etc.) e o servidor que hospeda os sites visitados.
Os certificados SSL tornam essa troca mais segura. Esses pequenos arquivos de dados estabelecem um protocolo de segurança entre seu navegador e os servidores para os quais eles enviam e recebem dados.
Quando você visita um site e deseja saber se ele possui um certificado SSL, consulte a barra de endereços do navegador. Se você vir um ícone de cadeado antes do URL do site, ele possui um certificado SSL.
Além disso, o URL do site começará com “https” em vez de “http”, com o “s” significando seguro (é a versão segura do protocolo de transferência de hipertexto). Esses dois indicadores apontam para um site que mantém os dados do usuário seguros (conforme abaixo).
Que informações contém um certificado SSL?
Os certificados SSL contêm as seguintes informações:
- O nome de domínio que o certificado deve proteger (geralmente é o nome da sua empresa ou algo próximo a ele).
- O destinatário do certificado (ou seja, o proprietário do domínio ou dispositivo para o qual o certificado foi emitido).
- Subdomínios associados ao domínio.
- O emissor do certificado (ou seja, a Autoridade de Certificação).
- A assinatura digital do emissor do certificado.
- A data de emissão do certificado.
- A data de validade do certificado.
- A chave pública do certificado SSL (que é uma string de texto longa).
O que são chaves públicas? Para responder a essa pergunta, precisamos entender como o SSL funciona.
Como funciona o SSL?
Em poucas palavras, os algoritmos de criptografia formam a espinha dorsal dos certificados SSL e SSL. Esses algoritmos garantem que os dados transferidos entre um navegador e o servidor sejam ilegíveis, embaralhando-os durante a transferência.
Tudo, desde nomes, endereços, senhas, detalhes de cartão de crédito e outros dados confidenciais, torna-se uma confusão de caracteres quando enviados por uma conexão segura. O processo impede que hackers roubem essas informações.
Uma troca de dados típica em uma conexão segura é a seguinte:
- O navegador do seu visitante tenta se conectar ao seu site seguro
- O navegador deles solicita que o servidor da Web que atende seu site se identifique
- O servidor web responde com uma cópia do certificado SSL do seu site
- O navegador do seu visitante examina o certificado SSL e decide se deve confiar nele ou não
- Se o navegador do visitante confiar no certificado, ele sinalizará sua confiança ao servidor da web
- O servidor da Web responderá enviando uma confirmação assinada para iniciar uma sessão criptografada
- O navegador e o servidor compartilham as informações criptografadas
Pode parecer muito (e é), mas toda a troca descrita acima acontece em milissegundos.
No entanto, o componente mais importante da troca é o uso de chaves SSL. Os certificados SSL têm chaves públicas e privadas que os navegadores e servidores da Web usam para criptografar e descriptografar dados. Os dados transferidos são criptografados e verificados usando a chave pública do remetente.
Por que os certificados SSL são importantes?
Existem várias razões pelas quais seu site precisa de um certificado SSL. As razões mais cruciais incluem:
1. Segurança
Empresas e sites online que solicitam informações pessoais de seus usuários precisam de certificados SSL.
A web evoluiu tanto que as empresas agora armazenam informações confidenciais, como registros médicos e detalhes de previdência social online. Esses dados representam um tesouro para cibercriminosos e criminosos de roubo de identidade que procuram sites com padrões de segurança negligentes. E, como mostra o infográfico abaixo, só vai piorar.
Os certificados SSL garantem que tudo, desde credenciais de login até transações online, permaneçam privados e protegidos contra falsificação, phishing e outros tipos de ataques.
Além disso, os certificados SSL inspiram confiança no usuário médio da Internet. Quando eles veem o cadeado, eles informam que estão navegando em um site seguro que valoriza os dados confidenciais do cliente. No ponto três abaixo, revelamos o que um usuário vê no lugar do cadeado ao navegar em um site não seguro.
2. Classificação mais alta na pesquisa
Em 2014, o Google declarou em seu blog que usaria HTTPS como um sinal de classificação. Em outras palavras, o mecanismo de pesquisa começaria a classificar os sites com certificados SSL mais alto em suas páginas de resultados do que aqueles sem.
SSL é um fator de classificação do Google .
A razão do Google para esta atualização de algoritmo era compreensível e nobre: “Para manter todos seguros na web”. O mecanismo de pesquisa não queria enviar usuários para sites inseguros e potencialmente perigosos. Afinal, fazer o contrário afetaria seus negócios a longo prazo, pois os usuários procurariam concorrentes cujos algoritmos de busca retornassem sites mais seguros.
O resto, como dizem, é história: em outubro de 2022, https é uma tecnologia de segurança padrão adotada por 81,5% dos sites da web.
Se o seu site não tiver um certificado SSL, corre o risco de ficar para trás dos sites que o têm. E considerando que 75% das pessoas nunca passam da primeira página das SERPs, quanto mais alto você classificar , melhor.
✴️ Seu site está otimizado para SEO e segurança?
Descubra instantaneamente com nosso Avaliador de Sites Gratuito !
3. Melhore a experiência do usuário
Finalmente, se o seu site não tiver um certificado SSL, isso dará aos visitantes uma experiência de usuário ruim, o que, como você pode ou não saber, está se tornando cada vez mais importante em SEO a cada ano .
Como?
Lembra do nosso bom amigo Google? Ele cumpriu sua promessa de “manter todos seguros na web” de várias maneiras . Além de uma classificação de pesquisa mais baixa, seu site corre o risco de ser considerado despreocupado com a segurança de seus visitantes se não tiver um certificado SSL.
Como mostra a imagem abaixo, o navegador Chrome do Google fornecerá aos visitantes do seu site dicas visuais que informam que ele não é seguro.
Considere o seguinte: o Chrome é o mais usado dos três principais navegadores (os outros dois são o Safari e o Edge). O navegador tem uma enorme participação de mercado de 64,5% , o que significa que a maioria dos visitantes do seu site provavelmente o usará.
Você gostaria que todos os visitantes vissem aquela mensagem visível “Não seguro” na barra de endereços do navegador?
Mas não termina aí. A mensagem provavelmente irá assustar seus visitantes e fazê-los fugir de seu site, resultando em uma alta taxa de rejeição . Uma alta taxa de rejeição significa uma classificação mais baixa, o que significa menos tráfego. Menos tráfego significa que você terá menos visitantes, o que significa menos leads, e assim por diante.
Tipos de certificados SSL
Então, você sabe o que são certificados SSL e por que eles são importantes para o seu site e SEO . Agora vamos discutir os tipos de certificados SSL disponíveis para o seu site.
1. Certificados de validação estendida (EV SSL)
Um certificado de validação estendida é o tipo de certificado mais abrangente e caro que você pode obter. Embora qualquer empresa seja gratuita para obter esse certificado, geralmente são empresas maiores que o possuem.
Como mostra a imagem acima, este certificado exibe as seguintes informações sobre seu site na barra do navegador do visitante:
- Um símbolo de cadeado verde que indica que seu site é seguro
- Nome da sua empresa
- O país
- https
A razão pela qual esse tipo de certificado exibe tantas informações é porque os dados ajudam a distinguir seu site de sites maliciosos. E se você administra sites que coletam dados do usuário ou processam muitos pagamentos online, provavelmente precisará desses certificados premium.
Além disso, você precisará se submeter a um processo de verificação padronizado para obter este certificado. Isso envolve provar que você é o detentor legal do domínio que você envia.
2. Certificados validados pela organização (OV SSL)
Os certificados validados pela organização estão um degrau abaixo na escala de preços do certificado SSL em relação aos certificados de validação estendida. Como o último certificado, você precisará se submeter a um exercício de verificação para obter um. E, assim como os certificados EV SSL, eles exibem informações sobre sua empresa nas barras de endereço de seus visitantes.
Os certificados OV SSL criptografam os dados transmitidos durante transações confidenciais, minimizando os riscos de segurança cibernética. Embora não sejam tão poderosos quanto os certificados EV SSL, eles são eficazes o suficiente para que sites comerciais os usem.
3. Certificados validados por domínio (DV SSL)
Em comparação com os certificados OV SSL e EV SSL, os certificados validados por domínio fornecem um nível moderado de proteção contra ataques de domínio. O processo de verificação não é tão rigoroso, então esses certificados oferecem criptografia básica.
Eles são baratos de obter, tornando-os perfeitos para sites que não coletam dados de usuários (por exemplo, blogs e sites de informações).
Os certificados validados por domínio não exibem tantas informações na barra do navegador de seus visitantes quanto os certificados EV SSL e OV SSL. Eles param de exibir informações sobre sua empresa, mostrando apenas o https antes do URL do seu site e o ícone de cadeado.
Mais tipos de certificado SSL
Observe que os três acima não são os únicos tipos de certificados SSL disponíveis. Alguns outros tipos de certificado incluem:
- Certificado SSL de domínio único: um certificado SSL de domínio único fornece segurança para um domínio. Não estende a proteção a subdomínios ou domínios adicionais. Portanto, seu certificado de domínio único para yourdomainname.com não protegerá seu subdomínio blog.yourdomainname.com ou o domínio adicional exclusivo yourdomainname.net.
- Certificado SSL curinga: esses certificados são um avanço em relação aos certificados SSL de domínio único. Um certificado SSL curinga permite que você proteja seu domínio principal e vários subdomínios. Eles são excelentes para proteger subdomínios para e-mail, pagamentos, login e assim por diante. Naturalmente, eles são mais caros do que os certificados SSL de domínio único.
- Certificado SSL de vários domínios: como o próprio nome sugere, este certificado SSL protege vários nomes de domínio e subdomínios. Além disso, você pode proteger uma combinação de nomes de domínio exclusivos, incluindo aqueles que terminam em diferentes extensões (ou seja, .com, .net, .io, .ai, etc.). Eles também são chamados de certificados SSL de comunicações unificadas.
Na seção abaixo, discutiremos brevemente o fator determinante para escolher um tipo de certificado para o seu site e como instalá-lo.
Como instalar um certificado SSL
Até agora, você deve estar convencido de por que seu site precisa de um certificado SSL. Então, como você configura um? O processo é mais ou menos assim:
- Escolha seu certificado: esta etapa é bastante fácil, pois você pode deixar que a natureza do seu site informe sua decisão. Um certificado validado por domínio será suficiente se você não planeja coletar dados de seus usuários ou aceitar pagamentos online. Caso contrário, você precisará de um certificado OV SSL ou EV SSL (se seu orçamento permitir).
- Escolha uma autoridade de certificação: você não pode instalar um certificado SSL sem obter um primeiro e precisará abordar uma autoridade de certificação como a DigiCert para isso. Você pode obter seu certificado de um revendedor DigiCert .
- Configure seu servidor: certifique-se de que seu registro WHOIS esteja atualizado e corresponda ao que sua Autoridade de Certificação terá em arquivo. Além disso, crie uma Solicitação de Assinatura de Certificado (CSR) em seu servidor ou peça ao seu provedor de serviços de hospedagem para fazer isso por você.
- Envie sua solicitação de assinatura de certificado: encaminhe seu CSR para a autoridade de certificação escolhida para validação. A CA executará os detalhes da empresa e a validação do domínio.
- Instale seu certificado SSL: Quando a CA autorizar seu CSR, você pode instalar seu certificado SSL (mais abaixo).
Seu certificado SSL exigirá configuração no servidor do seu host ou no seu servidor pessoal (ou seja, se você estiver hospedando seu site).
Além disso, lembre-se de que o tempo necessário para obter um certificado SSL varia dependendo do tipo de certificado que você decidir obter. Enquanto você pode obter um certificado validado por domínio em minutos, um certificado de validação estendida pode levar até uma semana ou mais para ser adquirido.
Proteja seu site com um certificado SSL
Se você pretende processar pagamentos online ou coletar dados confidenciais de seus usuários, precisará de um certificado SSL para seu site. Esses certificados digitais são cruciais porque protegem seu site criptografando os dados enviados de e para ele.
Além disso, mecanismos de pesquisa como o Google usam a presença ou ausência de um certificado SSL para determinar a classificação do seu site. E a ausência de um certificado SSL pode afetar a experiência do usuário de seus visitantes por meio de dicas visuais desconcertantes.
Felizmente, existem muitos tipos de certificados SSL que você pode usar. Ao escolher, use as necessidades de segurança do seu site como fator determinante.
Sobre o autor
Paul é um especialista em segurança cibernética especializado em soluções de PKI e segurança de sites. Ele costuma estar na frente do computador, tentando invadir um site ou API para clientes e escrever sobre isso para melhorar a segurança de outras pessoas. Ele é um autor publicado com seus livros sobre soluções PKI e certificados SSL/TLS , um bombeiro com sua brigada local e um ávido snowboarder no inverno.