Já notou que algumas URLs começam com “http://” enquanto outras começam com “https://”? Talvez você tenha notado esse “s” extra, ao navegar em websites que exigem o fornecimento de informações sensíveis, como ao pagar contas online.

Mas, de onde vem esse “s” extra e o que ele significa?

Resultado de imagem para ssl

De maneira simples, o “s” extra significa que sua conexão com esse website é criptografada, de forma que hackers não possam interceptar nenhum dos seus dados. A tecnologia que equipa esse pequeno “s” é chamada de SSL, que significa Secure Sockets Layer.

Nesta publicação, vou detalhar o que é o SSL e como ele funciona.

Com o aumento do uso da Internet para fins comerciais, tornou-se imprescindível a criação de meios que possibilitem a comunicação entre duas pessoas, através da rede, em total segurança. Dentre os diversos protocolos de segurança existente, existe um muito importante, que merece nossa atenção.

Trata-se do SSL (Secure Socket Layer). Ele permite que aplicativos cliente/servidor possam trocar informações em total segurança, protegendo a integridade e a veracidade do conteúdo que trafega na Internet. Tal segurança só é possível através da autenticação das partes envolvidas na troca de informações.

O que é SSL?

Vamos começar por uma definição do SSL.com:

“SSL é a tecnologia de segurança padrão para estabelecer uma ligação criptografada entre um servidor web e um navegador. Essa ligação garante que todos os dados passados entre o servidor web e o navegador permaneçam privados.”

Vamos ver isso em mais detalhes rapidamente.

Imagine que você esteja assistindo uma partida de futebol. Seu time está perdendo e um meio-campista pega a bola na intermediária, arranca em direção à linha de fundo e olha para a área, onde um atacante sozinho espera pelo lançamento. Na hora que ele vai alçar a bola em direção à área, um defensor trava o passe e toma a bola! Que droga!

Da mesma maneira, ao inserir informações em uma página web sem SSL, elas podem ser interceptadas por um hacker e suas informações podem ser roubadas.

Essas informações podem ser qualquer coisa, desde detalhes de uma transação bancária até informações gerais, inseridas para se inscrever para uma oferta. Na linguagem dos hackers, essa “interceptação” é frequentemente chamada de “ataque man-in-the-middle”. O ataque real pode acontecer de várias maneiras, mas uma das mais comuns é essa: O hacker coloca um pequeno programa de escuta, não detectado, no servidor que hospeda um website. Esse programa aguarda em segundo plano até que um visitante comece a digitar informações no website e se ativa para começar a capturar informações e depois enviar de volta ao hacker.

Mas, quando você visita um website que está criptografado com SSL, seu navegador se conectará com o servidor web, procurará o certificado de SSL e depois fará a ligação do seu navegador com o servidor. Essa conexão de ligação é segura, de forma que ninguém além de você e o website para o qual você está enviando informações possa ver ou acessar o que você digita em seu navegador.

Essa conexão acontece instantaneamente e não exige nenhuma ação de sua parte. Você simplesmente precisa visitar um website com SSL e pronto: sua conexão estará automaticamente protegida.

SSL é bom para SEO?

Sim. Embora a principal função do SSL seja proteger informações entre o visitante e seu website, há benefícios também para a SEO. De acordo com Zineb Ait Bahajji, webmaster analista de tendências da Google, o SSL faz parte agora do algoritmo de classificação de pesquisa da Google:

:Ao longo dos últimos meses, executamos testes que levavam em consideração se os sites usavam conexões seguras e criptografadas como um sinal de nossos algoritmos de classificação de pesquisa. Tivemos resultados positivos, portanto, começamos a usar HTTPS como sinal de classificação”.

 

Como posso saber se um website tem SSL?

Ao visitar um website com SSL, há algumas diferenças que são exibidas no navegador.

1) A URL diz “https://” e não “http://”. 

2) Você verá um pequeno ícone de cadeado na barra de URL.

Ele será mostrado do lado esquerdo ou direito da barra de URL, dependendo do navegador. Você pode clicar no cadeado para ler mais informações sobre o website e a empresa que fornece o certificado.

GeoTrust-SSL-Details.png

 

3) O certificado é válido.

Mesmo se um website tiver “https://” e um cadeado, o certificado pode estar expirado, o que significa que sua conexão pode não ser protegida.

Para saber se o certificado é válido, clique no cadeado e selecione “Informações do certificado”. Isso levará você a uma página de autoridade da certificação, que mostrará o prazo do certificado. Observe os dois campos na parte final da captura de tela abaixo: “Válido a partir de” e “até”. Se a data “até” já tiver passado, o certificado expirou.

 

Como posso obter um certificado SSL para meu website?

Se estiver procurando obter um certificado SSL para seu website, você precisa descobrir que tipo de certificado é adequado às suas necessidades.

 

O uso do SSL: HTTPS, SSH, FTPS, POPS…

O SSL pode ser usado para proteger praticamente qualquer protocolo usando TCP / IP.

Alguns protocolos foram especialmente modificados para suportar o SSL:
HTTPS: é HTTP+SSL. Este protocolo está incluído em praticamente todos os navegadores, e permite que você (por exemplo) consulte suas contas bancárias na web de forma segura.

 

FTPS é uma extensão do FTP (File Transfer Protocol) usando SSL.

SSH (Secure Shell) é uma espécie de telnet (ou rlogin) seguro. Isso permite que você se conecte a um computador remoto com segurança e ter uma linha de comando. O SSH tem extensões para proteger outros protocolos (FTP, POP3, ou mesmo X Windows).É possível tornar seguros os protocolos, criando túneis SSL. Depois de criar o túnel, você pode fazer passar qualquer protocolo por ele (SMTP, POP3, HTTP, NNTP, etc). Todos os dados trocados são criptografados automaticamente.Isto pode ser feito com ferramentas como o STunnel ou o SSH

Com o protocolo POP3 que, normalmente, você usa para ler os seus e-mails, as senhas e as mensagens transitam claramente na Internet.

Suas senhas e mensagens podem ser roubadas.Com o túnel SSL, e sem alterar os softwares cliente e servidor , você pode garantir a recuperação de seus e-mails: ninguém pode roubar suas senhas ou e-mails, pois tudo que passa pelo túnel SSL é criptografado.Mas isso requer a instalação do STunnel no cliente e no servidor.

Alguns provedores de acesso oferecem este serviço, mas ainda é muito raro. Pergunte ao seu provedor de acesso se ele tem este tipo serviço instalado.

O STunnel permite assim a proteção da maioria dos protocolos baseados no TCP/IP, sem alterar os softwares . Ele é muito fácil de instalar.

 

Quais são as diferentes versões do SSL?

O SSL versão 3.0 é muito semelhante ao SSL versão 2.0 , mas o SSL v2.0 tem menos algoritmos de criptografia que o SSL V3.0.TLS v1.0 é um protocolo semelhante com base no SSL. As aplicações usando o TLS v1.0 pode se comunicar facilmente com as aplicações utilizando o SSL v3.0.

Então, quando vejo o cadeado, estou protegido? O cadeado te indica se as comunicações entre o seu browser e o site são seguras: ninguém pode espiá-los, e ninguém pode mexer nas comunicações. Mas ele não garante nada mais. Para tirar uma foto:HTTPS (o cadeado), é como um carro blindado: ele garante a segurança do transporte.Mas realmente só transporte.O carro blindado não garante que o banco usa bons cofres e que eles fecham bem.O carro blindado também não garante que o banco não desfalque ninguém. O carro blindado realmente só garante o transporte. É a mesma coisa para o HTTPS (o cadeadinho do browser).

 

Para saber mais


Um servidor web protegido pelo protocolo SSL possui uma URL que começa em “https://”, onde o S significa “secured” (seguro, protegido).
Alguns algoritmos famosos de criptografia utilizam o protocolo SSL. Veja abaixo alguns deles:

  • DES e DSA – algoritmo de criptografia usado pelo governo americano.
  • KEA – usado para a troca de chaves pelo governo americano.
  • MD5 – muito usado por desenvolvedores de software para que o usuário tenha certeza que o aplicativo não foi alterado.
  • RSA – Algoritmo de chave pública para criptografia e autentificação.
  • SHA-1 -também usado pelo governo americano.

A versão 3.0 do SSL exige a autenticação de ambas as partes envolvidas na troca de mensagens. Ou seja, tanto cliente quanto servidor deve fazer autenticação e afirmar que são que dizem ser.

 

Conclusão

Da mesma forma que criminosos podem contratar um carro blindado, piratas e bandidos podem muito bem criar um site seguro (com o cadeadinho).

Tenha cuidado e não confie em qualquer informação em qualquer site, com ou sem cadeado.

 

Compartilhe