SSL (Secure Sockets Layer) é um padrão de tecnologia de segurança para estabelecer uma ligação encriptada entre um servidor e um cliente, nos casos mais comuns, o utilizador de um site ou email.

Normalmente as empresas só se costumam preocupar que os seus sites tenham SSL quando estes lidam com informação sensível, como dados de cartões de créditos, dados dos clientes ou outros.

Infelizmente a espionagem informática cada vez mais comum pode tirar partido da comunicação sem SSL que é uma comunicação direta sem encriptação. Há necessidade em se preocupar com este assunto, pois ele envolve a sua empresa e os seus clientes. E agora também esta boa prática será um comportamento premiado pelo motor de busca Google desde Agosto de 2014, pelo que pode ajudar o seu site no ranking Google.

Exposição de dados de acesso, não poder confirmar que a informação comunicada não seja adulterada e exposição dos conteúdos durante uma comunicação.

De uma forma simples, os certificados SSL têm duas chaves, uma pública e uma privada. Juntas possibilitam a encriptação da informação. Os certificados também têm um sujeito, que é a identidade do dono do certificado/site.

Os certificados são pedidos a Entidades Certificadoras, que providenciam a informação necessária para a criação das chaves, nunca tendo no entanto a capacidade de aceder aos dados encriptados também.

Com a combinação das chaves, a entidade certificadora, confirma que a informação é feita corretamente entre o cliente e o servidor.

Porque é um processo mais complexo de comunicação, um certificado pode afetar a velocidade da comunicação, pelo que é um fator adicional a ter em conta.

Tempo de duração: normalmente os certificados são emitidos por um ano, tendo então um valor de custo anual, no entanto ao comprar mais do que ano de uma vez, normalmente consegue melhores preços

Entidade Certificadora (CA): Em segurança a reputação, know-how e expertise também contam, por isso é normal ver diferença de preços para empresas com maior reputação. Lembrando que apenas o facto de alguém emitir um certificado SSL não quer dizer que ele seja seguro, por isso analise bem as características, como também a reputação da entidade certificadora. Tenha cuidado que às vezes o barato sai caro, pelo que existem Entidades Certificadoras que podem até mesmo ser falsas, que vendem ou dão certificados com a vantagem que são eles que lhes “roubam” a informação. Exemplo de empresas certificadoras : GlobalSign, Thawte/Verisign, Comodo, GoDaddy, Symantec, Trustwave, GeoTrust.

Cadeado ou Barra verde – Validação estendida (EV): Todos os certificados mostram através do browser um ícone de cadeado, no entanto certificados melhores mostram também uma pequena barra verde com o nome da empresa a quem o certificado foi emitido, aumentando o nível de confiança. A validação estendida é o mais alto nível de segurança dentro dos certificados SSL.

Validação de Domínio (DV): Os certificados protegem inicialmente um domínio, mas pode proteger subdomínios ou mais que um domínio. Neste sentido tem que analisar quais são as suas necessidades. Tem apenas um endereço de site ? Tem vários sites, ou vários subdomínios dentro do mesmo site ?

Validação de Organização (OV): Enquanto uns certificados incidem apenas sobre a validação de domínio, a validação de organização garante a existência de uma empresa por detrás do certificado. É sem dúvida uma garantia para os clientes saber a entidade que está por detrás de um site.

Endereço: Alguns certificados funcionam apenas com o endereço www.site.com enquanto outros apenas site.com , havendo ainda os que funcionam com ambos.

Encriptação: O nível de encriptação é medido em bits, actualmente o normal será escolher um certificado de 2048-bit que permite ligações de 128-bit e 256-bit . Conforme o tempo passar será normal estas normas aumentarem em nível de segurança, tal como tem acontecido com os acessos wireless.

Compatibilidade: Conforme vão surgindo novas normas, esteja atento às diferenças e ao preço. Por exemplo é comum encontrar certificados que sejam compatíveis com SSL v3/TLS. Estas compatibilidades com normas mais modernas normalmente ajudam no aumento de segurança e noutro fator importante que é a velocidade de execução. Também apesar de costumeiro, os certificados devem ser compatíveis com os browsers do mercado.

Selo: Normalmente os sites têm um selo/imagem que confirmam a existência do certificado SSL e normalmente permitem clickar e verificar essas informações. É também um alerta visual aos utilizadores que lhe garante que o site está protegido. Conforme o tipo de certificado e empresa certificadora os selos diferem.

Tempo de Emissão: Normalmente a emissão de um certificado é rápido, sendo feito em um dia, no entanto dependente da empresa, pode demorar mais tempo.

Garantia: Infelizmente no negócio de segurança não há certezas e garantias absolutas, para isso algumas empresas certificadoras criaram garantias/seguros, com valores astronómicos para que garanta a segurança do seu site.

Instalação e Suporte: Normalmente a instalação de um certificado é simples e é feita ou pela empresa certificadora, ou uma empresa mediadora desses serviços pois requer conhecimentos técnicos a nível de servidor ou eventualmente um acesso que possa não ter. E aí será um trabalho para a empresa de alojamento do seu site. Em termos de suporte, não costuma haver problemas, no entanto se houver é bom que possa contar com ajuda profissional senão terá dificuldades em descobrir os problemas.

Muitas pessoas não estão ainda cientes da necessidade de ter um certificado ou dos perigos que corre quando visita um site não seguro.

Dando um exemplo simples, imagine que está num centro comercial, ou num estabelecimento público que lhe dá acesso à internet. De seguida entra num site não seguro que lhe pede um login e password. Mesmo que esse site não tenha nenhuns dados sensíveis seus, o facto desta informação circular nesta rede pública permite que alguém com más intenções tenha o seu email e uma password, que quem sabe é uma que usa para muitas coisas, como por exemplo o seu email, ou facebook ou outro site que já lhe dá acesso a informação mais sensível.

Com esses dados por vezes hackers então conseguem aceder a contas bancárias, Paypal ou outras. Sabia que há lojas online a vender contas hackadas com dinheiro de Paypal, de empresas e particulares ?
Bem, o risco aqui foi do utilizador, mas se é o dono deste site não seguro, já viu que se o seu site tivesse um certificado seguro, esta informação passada entre o computador/telemóvel e o site ficava apenas entre servidor e cliente sem expor dados ?

Algumas outras experiências que li reflectem a utilidade dos certificados. No entanto, devem servir apenas como referência, e não promoção individual das empresas, pelo que não tenho qualquer interesse envolvido em nenhum dos casos. São experiências que estão nos sites de certificadoras, cuja responsabilidade da informação é deles.

A CA Thawte mostra no seu site um case study onde destaca o valor de um certificado em thawte.com.

A experiência conta que após terem adquirido um certificado SSL EV, receberam o maior donativo pela internet até ao momento, cerca de 100.000 USD via cartão de crédito online. O dono da empresa afirma que o facto de as pessoas verem a barra verde com o cadeado, lhes dá mais sensação de segurança e assim sentem-se mais à vontade em colocar os seus dados e fazer este tipo de transação. Isto aumenta a confiança tanto do dono do site como dos clientes.

Interessante também um outro caso onde o destaque vai para a diferença de valor para Entidades diferentes, onde um cliente que tinha um certificado, trocou por um da concorrência e sentiu uma quebra relevante no site. Após voltar ao fornecedor original, voltou a recuperar as vendas. Este caso está em certs4less.com.

É interessante ver estes e outros casos, não para promover uma empresa individual, mas no sentido em que se pode aperceber até que ponto um certificado afeta a realidade das empresas e pessoas e também se entende que nem todos os certificados são iguais.