Protocolos SSL e TLS e a Segurança da Informação

Protocolos SSL e TLS e a Segurança da Informação

Segurança na internet é coisa séria, e as empresas de tecnologia da informação investem muito tempo e energia procurando formas eficazes de proteger os dados das pessoas online, com protocolos como SSL e TLS

Neste artigo, vamos apresentar essas duas opções e falar um pouco mais sobre a importância de zelarmos sobre a segurança da informação na internet, e as implicações possíveis quando não nos atentamos a esses detalhes de navegação.

O que são os protocolos SSL e TLS?

Como a introdução deste texto sugere, os protocolos SSL e TLS têm a ver com segurança da informação. São protocolos de criptografia que têm como objetivo proteger os dados fornecidos por um usuário em um ambiente online. 

O SSL (Secure Sockets Layer) veio antes. Ele garante que os dados do usuário serão criptografados ao acessar um site para que estes não sejam encontrados e utilizados indevidamente por outras pessoas.

Para isso, o SSL utiliza o algoritmo MAC (Message Authentication Code). 

É o que acontece, por exemplo, com os dados de cartão de crédito que inserimos em páginas de compra online. Por isso é sempre tão importante confirmar a certificação de que o site é seguro antes de qualquer transação. 

O TLS (Transport Layer Security), por sua vez, é uma versão mais atualizada e segura do SSL. Geralmente, ele é uma configuração nos programas de e-mail. O algoritmo utilizado neste protocolo é o Keyed — Hashing for Message Authentication Code (HMAC). 

Mesmo com essa atualização, o nome SSL continua sendo utilizado no mercado de tecnologia, então vamos usá-lo bastante neste artigo.

Como os protocolos SSL e TLS funcionam?

Estes certificados de segurança funcionam da seguinte forma: uma chave criptográfica é unida à identificação de uma instituição ou companhia. Com isso, os dados fornecidos podem ser transferidos sem serem descobertos por pessoas não autorizadas. 

Toda vez que o usuário visita uma página segura, o navegador e o servidor se conectam, através de chaves públicas e privadas.

É criada, então, uma chave de sessão, utilizada para criptografar e descriptografar os dados transferidos. Ela é válida por tempo limitado e vai ser utilizada apenas nesta sessão específica.

Quais são os níveis possíveis dos protocolos?

Os protocolos SSL e TLS têm vários níveis, de acordo com a segurança exigida pelo site e o objetivo do usuário na página. 

SSL EV - Validação estendida

Este é o maior nível de certificado e também o mais caro. Geralmente, é utilizado para a coleta de dados que envolve pagamentos online. 

O SSL EV exibe o cadeado na URL, o “https://”, o nome da empresa e o país. Essas informações ajudam o usuário a entender que este é, realmente, o site original. 

Para obter este certificado, o proprietário do site deve passar por um processo de verificação de identidade para ter seus direitos exclusivos sobre o domínio.

SSL OV - Validação de empresa

Assim como na validação estendida, a validação de empresa também exige um processo importante de validação de dados.

O principal objetivo dele é criptografar as informações do usuário durante as transações em sites comerciais.

SSL DV - Validação de domínio

Este certificado é mais simples. Ele oferece garantia e criptografia mínimas, já que está presente em sites que não envolvem coleta de dados ou pagamentos

Em geral, a validação de domínio é utilizada em blogs ou sites informativos e o processo de validação requer somente que o proprietário responda a um e-mail ou uma chamada telefônica.

SSL Curinga

Este certificado permite proteger o domínio base e subdomínios ilimitados com um único certificado.

SSL de vários domínios (MDC)

Este certificado pode ser utilizado para proteger muitos domínios e subdomínios diferentes, incluindo os exclusivos e subdomínios com diferentes TLDs (Top-Level Domains). 

Qual a importância da presença de SSL e TLS em um site?

Em resumo, a presença dos protocolos SSL e TLS em um site garante que a comunicação entre o domínio do site e o navegador é criptografada. Isso dificulta a interceptação de hackers na conexão e, consequentemente, o roubo de dados importantes, como dados pessoais e bancários. 

O vazamento de dados e/ou o descuido com a segurança de informações sensíveis podem gerar muito prejuízo para usuários, principalmente fraudes financeiras

As empresas nas quais esses ataques acontecem também se prejudicam. O mais comum é que percam sua confiabilidade por parte dos clientes. 

Como saber se um site é seguro? 

A forma mais simples de descobrir se um site é realmente seguro para compartilhar suas informações pessoais é observando a barra de URL do navegador. Se tiver um cadeado do lado esquerdo, isso quer dizer que o site é seguro e protegido pelos protocolos SSL e TLS. 

A utilização dessa criptografia é indispensável em qualquer site que receba informações sensíveis. Existem três objetivos principais para os protocolos:

  • Autenticação: é muito fácil um servidor se passar por outro, por meio da interceptação de informações. A aplicação dos protocolos de segurança garante, para os visitantes do seu site, que ele é autêntico. 
  • Confiabilidade: quando as lojas online começaram a ganhar força, muitas pessoas demoraram a confiar nos sites para fazer suas compras, porque não sabiam para onde iam seus dados. Agora, com a indicação da criptografia, elas se sentem mais seguras para comprar, já que isso torna o site confiável.
  • Padrões da indústria: o mercado de finanças, por exemplo, exige um padrão de segurança. O PCI (Payment Card Industry) também faz exigências para quem recebe pagamentos de cartão de crédito via site. O certificado SSL/TLS é uma delas.

Outro indicativo de segurança e da presença do protocolo SSL/TLS em um site é o “https://” no início da URL. A sigla significa “Hyper Text Transfer Protocol Secure”, ou “protocolo de transferência de hipertexto seguro”, em português. 

A relevância de sites seguros na busca

Em 2014, o Google fez alterações em seu algoritmo para dar prioridade e relevância a sites que possuem certificado de segurança.

Dessa forma, os domínios com SSL/TLS ficam mais bem ranqueados nos mecanismos de busca, ou seja, aparecem nas primeiras páginas dos buscadores e têm mais chances de serem encontrados e acessados pelos usuários. 

É claro que esse ranqueamento ainda depende de diversos outros fatores, como a construção de links, palavras-chave, conteúdos originais e outros princípios do SEO (Search Engine Optimization). 

Como gerar um certificado SSL/TLS?

Esses certificados de segurança são obtidos com uma autoridade de certificação (CA). 

Seu preço varia, pode ser gratuito ou custar até cem dólares - tudo depende do nível de segurança que o site exige. Na internet existem diversos emissores de certificados para diversos níveis.

As etapas de obtenção do SSL/TLS são:

  1. Configurar o servidor para garantir que o registro WHOIS esteja atualizado. Ele deve conter os principais dados da empresa como nome, endereço, entre outros;
  2. Solicitar a assinatura do certificado no servidor;
  3. Enviar o certificado assinado para validação da autoridade;
  4. Instalar o certificado validado assim que o processo for concluído.

O período até a conclusão do processo depende. Um certificado de validação de domínio pode ser emitido em apenas alguns minutos, já o de validação estendida pode demorar até mesmo uma semana para ficar pronto.

E se o certificado expirar?

O Certificate Authority/Browser Forum, que atua como o órgão regulatório do setor de SSL, define que os certificados SSL não devem durar mais de 27 meses.

Isso acontece porque, para manter as informações mais seguras, elas têm que ser revalidadas periodicamente. Assim, é possível verificar se elas ainda são precisas, uma vez que a internet está em constante mudança. 

Quando o certificado expira, os usuários que chegam ao site recebem a mensagem de que ele não é seguro, não sendo aconselhável prosseguir por conta dos riscos de cibersegurança e malware

Em geral, as autoridades de certificação enviam notificações para avisar o proprietário que o certificado está para expirar. O ideal é que a renovação seja feita antes da data de expiração, para que o site, em nenhum momento, deixe de ser seguro para transações.

Princípios da segurança da informação

A segurança da informação é pautada em alguns princípios básicos. São eles a confidencialidade, integridade, disponibilidade, autenticidade e irretratabilidade.

  • Confidencialidade: garante que os dados serão acessados apenas por pessoas autorizadas. Para garantir a confidencialidade dos dados, é possível tomar medidas de proteção como controle de acesso, senhas fortes, entre outros. Este ainda é um dos requisitos da GPDR (General Data Protection Regulation) e da LGPD (Lei Geral de Proteção de Dados).
  • Integridade: a segurança da informação deve evitar que os dados fornecidos pelos usuários sejam alterados ou excluídos por pessoas não autorizadas. Em geral, essas ações acontecem devido a erros humanos, políticas de segurança inadequadas, processos falhos e ciberataques
  • Disponibilidade: os dados devem estar sempre disponíveis para que os usuários possam acessá-los a qualquer momento. Para que isso seja garantido, o servidor deve ser estável, tenha processos rápidos, esteja sempre atualizado e saiba ser administrado se acontecer uma crise. 
  • Autenticidade: é o que valida o acesso do usuário aos seus dados, como os sistemas de login e senha que utilizamos para acessar perfis pessoais online. Hoje em dia, muitos sites exigem a autenticação em dois fatores, para garantir uma segurança ainda maior do acesso. 
  • Irretratabilidade: este é um princípio jurídico, que garante que uma pessoa ou instituição não possa negar a autoria da informação fornecida. Assim, é possível provar o que foi feito, quem fez e quando fez em um sistema.

Segurança da informação e a LGPD

A LGPD (Lei Geral de Proteção de Dados) é uma lei que faz algumas determinações a partir de medidas técnicas e administrativas com o objetivo de proteger dados sensíveis de usuários. 

Ela foi aprovada em 2018, mas entrou em vigor apenas em 2021. Seu intuito é fornecer transparência com os titulares dos dados e garantir a eles os princípios da liberdade e da privacidade.

Empresas que não respeitarem os direcionamentos da LGPD podem sofrer sanções administrativas e pecuniárias, como:

  • Advertência
  • Publicização da infração
  • Bloqueio dos dados pessoais
  • Eliminação dos dados pessoais a que se refere a infração
  • Suspensão parcial do funcionamento do banco de dados
  • Suspensão do exercício da atividade
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
  • Multa simples, de até 2% do faturamento (limitado a R$50 milhões por infração)

Outros protocolos de segurança da informação

SSL e TLS não são os únicos protocolos possíveis para garantir a segurança dos sites na internet, é claro. Conheça mais alguns deles:

TCP/IP

É formado a partir da combinação de outros dois protocolos e são responsáveis por todo o envio e recebimento de dados de todas as redes.

Essa combinação é dividida em quatro camadas: a camada de aplicação, o transporte, a rede e a interface

XMPP

A sigla, que significa Extensible Messaging and Presence Protocol, é utilizada por todos os programas de comunicação instantânea mais populares, como WhatsApp e Telegram.

Ela funciona a partir do uso da criptografia de ponta a ponta, que ganhou espaço em muitas aplicações.

DHCP

O Dynamic Host Configuration Protocol (DHCP) está presente na conexão a redes locais, como wi-fi residencial, hotspots e modens de provedores.

É ele quem determina a exclusividade do endereço IP do dispositivo.

Estes não são os únicos. A internet é repleta de protocolos e certificados que garantem a navegação de modo seguro e eficiente. 

Segurança é diferencial

A adoção de medidas de segurança realmente eficazes em sites impactam positivamente nos resultados da empresa.

Os clientes ficam mais satisfeitos O que significa mais vendas para o negócio. O NPS (Net Promoter Score) também fica mais alto, de acordo com a escala de 0 a 10. 

Além disso, é muito provável que o cliente indique a empresa para outras pessoas, tornando-a mais competitiva no mercado. 

O matemático londrino Clive Humbly disse uma vez que “os dados são o novo petróleo”, devido ao seu nível de importância nos dias atuais. A internet há muito tempo se tornou uma extensão da vida real. 

Por esse motivo, os certificados SSL e TLS são indispensáveis quando falamos de segurança online e para onde caminhamos quando o assunto é inovação e progresso.