O Secure Sockets Layer (SSL, Camada de Soquetes Seguros) é um protocolo de segurança que proporciona privacidade, autenticação e integridade às comunicações na Internet. Eventualmente, o SSL acabou evoluindo para o Transport Layer Security (TLS, Segurança da Camada de Transporte).
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O SSL (Secure Sockets Layer) é um protocolo de segurança da Internet baseado em criptografia. Foi desenvolvido inicialmente pela Netscape em 1995, com o objetivo de garantir a privacidade, autenticação e integridade de dados nas comunicações da Internet. O SSL é o antecessor da criptografia moderna utilizada hoje, o TLS.
Um site que implementa SSL/TLS apresenta um "HTTPS" na URL em vez de um "HTTP".
Foram utilizadas várias iterações do SSL, cada qual mais segura que a anterior. Em 1999, o SSL foi atualizado e se transformou em TLS.
Originalmente, os dados na Internet eram transmitidos como um texto sem formatação que qualquer pessoa poderia ler caso interceptasse a mensagem. Por exemplo, se um consumidor visitasse um site de compras, fizesse um pedido e inserisse o número do cartão de crédito no site, esse número viajaria pela Internet sem nenhuma camuflagem.
O SSL foi criado para resolver esse problema e proteger a privacidade do usuário. Ao criptografar todos os dados que circulam entre um usuário e um servidor web, o SSL garante que qualquer pessoa que intercepte os dados veja apenas uma confusão de caracteres. O número do cartão de crédito do consumidor agora está seguro, visível apenas para o site de compras onde ele o inseriu.
O SSL também consegue deter determinados tipos de ataques cibernéticos ao autenticar servidores web, o que é importante porque os invasores costumam tentar configurar sites falsos para enganar os usuários e roubar seus dados. Também impede os invasores de adulterar dados em trânsito, como se fosse um selo em um frasco de medicamentos à prova de adulteração.
O SSL é o antecessor direto de outro protocolo chamado TLS (Transport Layer Security). Em 1999, a Força-Tarefa de Engenharia da Internet (IETF) propôs uma atualização do SSL. Como essa atualização estava sendo desenvolvida pela IETF e a Netscape não estava mais envolvida, o nome foi alterado para TLS. As diferenças entre a versão final do SSL (3.0) e a primeira versão do TLS não são radicais; a mudança de nome foi aplicada apenas para marcar a alteração da entidade responsável.
E já que são tão intimamente relacionados, os dois termos são frequentemente utilizados de forma intercambiável e confusa. Algumas pessoas ainda usam SSL para se referir ao TLS; outras usam o termo "criptografia SSL/TLS", porque o nome SSL ainda é amplamente reconhecido.
O SSL não teve nenhuma atualização após a versão SSL 3.0, lançada em 1996, e agora é considerado obsoleto. Existem várias vulnerabilidades conhecidas no protocolo SSL e os especialistas em segurança recomendam descontinuar seu uso. Na verdade, a maioria dos navegadores mais modernos já não é compatível com SSL.
O protocolo de criptografia atualizado que ainda está sendo implementado on-line é o TLS, mesmo que muitas pessoas ainda se refiram a ele como "criptografia SSL". Esse fato pode causar confusão entre os consumidores que compram soluções de segurança. A verdade é que qualquer fornecedor que ofereça "SSL" atualmente está quase certamente fornecendo proteção TLS, que se tornou o padrão do setor há mais de 20 anos. No entanto, como muitas pessoas ainda estão procurando "proteção SSL", o termo continua em destaque em muitas páginas de produtos.
O SSL só pode ser implementado por sites que tenham um certificado SSL (tecnicamente, um "certificado TLS"). Um certificado SSL é como uma carteira de identidade ou um crachá, que provam que uma pessoa é quem ela diz ser. Os certificados SSL são armazenados e exibidos na Internet pelo servidor de um site ou aplicação.
Uma das informações mais importantes em um certificado SSL é a chave pública do site. A chave pública torna a criptografia e a autenticação possíveis. O dispositivo de um usuário exibe a chave pública e a utiliza para estabelecer chaves de criptografia seguras com o servidor web. Enquanto isso, o servidor web tem também uma chave privada que é mantida em segredo; a chave privada descriptografa os dados criptografados com a chave pública.
As autoridades de certificação (CA) são responsáveis pela emissão de certificados SSL.
Existem vários tipos de certificados SSL diferentes. Um certificado pode ser aplicado a um único site ou a diversos sites, dependendo do tipo:
Os certificados SSL também vêm com diferentes níveis de validação. Um nível de validação é como uma verificação de antecedentes, e o nível muda dependendo do rigor da verificação.
A Cloudflare oferece certificados SSL gratuitos para todas as empresas. Um site protegido pela Cloudflare pode ativar o SSL com apenas alguns cliques. Os sites também podem precisar configurar um certificado SSL em seu servidor de origem: esse artigo inclui instruções adicionais.
Para saber mais sobre como funciona a criptografia SSL/TLS, consulte O que é TLS?.