O que é um certificado de segurança em um site?
Já viu o erro “Há um problema com o certificado de segurança deste site” e se perguntou o que significava? Explicarei o que é um certificado de segurança e como ele funciona, para que você possa voltar à sua navegação sem a preocupação.
A segurança da Internet é bastante complexa, portanto, este artigo fornece apenas uma visão geral simples do tópico para leitores não técnicos e dicas sobre o que fazer quando você encontrar erros de segurança.
Por que o certificado de segurança do site é importante?
Quando você acessa um site em que precisa fazer login e gerenciar uma conta, é importante que os detalhes da sua conta permaneçam entre você e seu provedor de serviços, para que seu dinheiro, identidade e informações pessoais permaneçam seguros. Seu provedor de serviços online pode ser seu banco, uma loja online ou site de comércio eletrônico, seu email ou seu blog particular.
Leia também
Ao acessar esses tipos de websites, você perceberá que o URL começa com um ícone de bloqueio e “https://”, em vez de apenas “http://”.
HTTPS (HyperText Transfer Protocol Secure) indica que o site está protegido por Secure Socket Layer / Transport Layer Security. Os dados enviados entre você e o site são criptografados para que as informações sejam particulares e o site seja identificado como quem afirma ser. Assim como você verifica sua identidade (por meio de nome de usuário e senha, e outras informações que eles podem solicitar, como na autenticação de dois fatores), o site precisa também. O site prova que é operado por seus verdadeiros proprietários, exibindo um certificado de segurança para o navegador da Internet, que indica a você que o site é legítimo com o símbolo de bloqueio.
Se você não vir essas coisas quando estiver em um site seguro ou se vir um aviso, isso significa que o site pode ser falso. Em um site como esse, você pode estar enviando seus dados para as pessoas erradas, o que faria de você uma vítima de um ataque man-in-the-middle. Você pode clicar no símbolo de bloqueio para obter mais detalhes, se ele não aparecer em verde ou se tiver uma marca de aviso amarela.
Os símbolos de segurança são diferentes para diferentes navegadores. Um pouco de pesquisa será suficiente para encontrar os símbolos para seu navegador específico.
Proprietários, navegadores e autoridades de certificação de segurança https
Os proprietários de sites de comércio eletrônico pagam a terceiros, chamados Autoridade de Certificação, para verificar quem é a empresa e que suas transações são autênticas.
Os navegadores da Web, como o Google Chrome, o Firefox e o Internet Explorer, mantêm listas de autoridades de certificação que consideram confiáveis. Quando você acessa o que deve ser um site seguro, o site apresenta seu certificado de segurança para o seu navegador. Se o certificado estiver atualizado e a partir de uma Autoridade de Certificação confiável, você poderá fazer login e concluir suas transações, sem aviso prévio.
Se você está começando um website seguro, há várias entidades diferentes para escolher. O trabalho deles é verificar se você é o proprietário do site para o qual está emitindo um certificado, também conhecido como Verificação de domínio. Isso pode ser feito enviando um email com instruções para atualizar as configurações do servidor de nomes de domínio (DNS) do seu site, ou arquivos no servidor da Web, para o endereço de e-mail associado ao domínio do website. A ideia é que apenas a pessoa que recebeu esse email teria as instruções exatas para atualizar o site e conseguir fazer isso.
O certificado de segurança garante que um site corre menos riscos de ser invadido ou divulgar suas informações pessoais. (Foto: Prop PMS)
Maior segurança na internet
Existem outros tipos mais rigorosos de certificados que as entidades podem oferecer (que custam mais) para verificar quem você e sua empresa são, como Extended Validation, que pode custar centenas de reais(grandes empresas às vezes pagam milhares). A Validação Estendida inclui a verificação de informações, como a identidade legal do proprietário do website, o nome da empresa, o endereço físico, o registro e a jurisdição da incorporação. A segurança desse site é uma medida importante de confiança se você administrar uma empresa.
Quando você visita um site que passou por Validação Estendida, os navegadores modernos incluem o nome da empresa em verde na barra de URL, para que você saiba que está lidando com a empresa correta.
Autoridades de Certificação Gratuitas
Existem autoridades de certificação gratuitas, mas como o serviço é gratuito, elas não têm as mesmas camadas de segurança e identidade visual que os grandes nomes. Além disso, muitas vezes eles não têm a onipresença do reconhecimento do navegador. Isso significa que, se você receber um certificado de segurança gratuito, poderá ouvir dos leitores do seu website que o navegador apresenta um aviso quando visitar o site que a autoridade de certificação do seu site não é confiável. Você pode obter uma Verificação de Domínio gratuita do StartSSL (sem validação de identidade), e isso limpará seu site para ser confiável pelos navegadores Mozilla, Safari e Internet Explorer. Você não terá, no entanto, a barra verde dos pacotes Extended Validation, com custos. A empresa está baseada em Israel, no entanto, e é obrigada a manter seus documentos de verificação por vários anos.
O CACert é uma Autoridade de Certificação gratuita e orientada pela comunidade. As seguradoras voluntárias do CACert se reúnem com os proprietários do site para revisar seus documentos de identificação pessoalmente. Infelizmente, os certificados do CAcert não são confiáveis nos principais navegadores e só são incluídos em alguns sistemas operacionais de código aberto.
O uso do CACert e do StartSSL, no entanto, oferecerá a criptografia do seu site, portanto, se você tiver interação simples com o usuário em seu site (como um fórum ou um wiki), esses serviços gratuitos podem ser exatamente o que você precisa.
O que fazer se você vir um erro de certificado?
O importante a fazer quando você recebe esse aviso do navegador é verificar detalhes. Você poderá descobrir por que o certificado foi rejeitado e decidir por si mesmo se deseja continuar e usar o site mesmo assim. Se o certificado expirar, o proprietário do site pode ter esquecido de renová-lo a tempo. Se você vir muito esse erro, verifique a data do relógio do computador e verifique se ele está correto.
No entanto, se o certificado de segurança foi revogado, significa que o site está usando o certificado de forma fraudulenta e você não deve confiar nele. Você também pode receber o aviso de que a Autoridade de Certificação não é confiável. Se você acha que entende e confia no modelo de verificação peer-to-peer da CACert ou na verificação de domínio do StartSSL, é possível dizer ao seu navegador para confiar nessas entidades. Existem outros tipos de avisos e erros, então mantenha os olhos abertos e leia os detalhes.
Quando você vê um aviso de certificado de um site em que confia, também pode tentar verificar o feed do Twitter do site. Ele geralmente hospeda atualizações sobre o site, tempo de inatividade, segurança e outros problemas.
Se eles não tiverem atualizações, e se você conseguir, poderá entrar em contato com o proprietário do website e perguntar o que está acontecendo. Você pode estar salvando o dono do site e outros usuários de muito sofrimento, caso eles ainda não estejam cientes do aviso de certificado.
Em resumo, seja vigilante (porque os golpes de phishing estão por aí), mas também seja curioso. Vá em frente e descubra porque você vê avisos de segurança.
Você já encontrou um aviso de certificado de segurança? Você aproveita o tempo para descobrir por que está vendo? Quais te preocupam mais e você tem alguma dica sobre o que fazer com elas?
Sobre o autor
No final da década de 90, André começou a lidar diretamente com tecnologia ao comprar seu primeiro computador. Foi um dos primeiros a ter acesso à internet em sua escola. Desde então, passou a usar a internet e a tecnologia para estudar, jogar, e se informar, desde 2012 compartilhando neste site tudo o que aprendeu.
Veja também
Como ativar o Javascript?
O que é Cloudflare?
O que é um servidor de internet?
Quanto custa a instalação de um sistema de segurança na sua casa?