O que é SSL? | Definição de SSL

O Secure Sockets Layer (SSL, Camada de Soquetes Seguros) é um protocolo de segurança que proporciona privacidade, autenticação e integridade às comunicações na Internet. Eventualmente, o SSL acabou evoluindo para o Transport Layer Security (TLS, Segurança da Camada de Transporte).

Share facebook icon linkedin icon twitter icon email icon

SSL

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Defina SSL
  • Entenda a diferença entre SSL e TLS
  • Entenda os certificados SSL

O que é SSL?

O SSL (Secure Sockets Layer) é um protocolo de segurança da Internet baseado em criptografia. Foi desenvolvido inicialmente pela Netscape em 1995, com o objetivo de garantir a privacidade, autenticação e integridade de dados nas comunicações da Internet. O SSL é o antecessor da criptografia moderna utilizada hoje, o TLS.

Um site que implementa SSL/TLS apresenta um "HTTPS" na URL em vez de um "HTTP".

HTTP x HTTPS

Como funciona o SSL/TLS?

  • Para proporcionar um alto grau de privacidade, o SSL criptografa os dados que são transmitidos na Internet. Isso significa que qualquer pessoa que tentar interceptar esses dados verá apenas uma mistura de caracteres embaralhados quase impossível de descriptografar.
  • O SSL dá início a um processo de autenticação entre dois dispositivos em comunicação chamado "handshake" (aperto de mão), para garantir que ambos os dispositivos são realmente quem dizem ser.
  • O SSL também assina os dados digitalmente para proporcionar uma integridade de dados, verificando se os dados não foram adulterados antes de chegar ao destinatário pretendido.

Foram utilizadas várias iterações do SSL, cada qual mais segura que a anterior. Em 1999, o SSL foi atualizado e se transformou em TLS.

Por que o SSL/TLS é importante?

Originalmente, os dados na Internet eram transmitidos como um texto sem formatação que qualquer pessoa poderia ler caso interceptasse a mensagem. Por exemplo, se um consumidor visitasse um site de compras, fizesse um pedido e inserisse o número do cartão de crédito no site, esse número viajaria pela Internet sem nenhuma camuflagem.

O SSL foi criado para resolver esse problema e proteger a privacidade do usuário. Ao criptografar todos os dados que circulam entre um usuário e um servidor web, o SSL garante que qualquer pessoa que intercepte os dados veja apenas uma confusão de caracteres. O número do cartão de crédito do consumidor agora está seguro, visível apenas para o site de compras onde ele o inseriu.

O SSL também consegue deter determinados tipos de ataques cibernéticos ao autenticar servidores web, o que é importante porque os invasores costumam tentar configurar sites falsos para enganar os usuários e roubar seus dados. Também impede os invasores de adulterar dados em trânsito, como se fosse um selo em um frasco de medicamentos à prova de adulteração.

Os protocolos SSL e TLS são a mesma coisa?

O SSL é o antecessor direto de outro protocolo chamado TLS (Transport Layer Security). Em 1999, a Força-Tarefa de Engenharia da Internet (IETF) propôs uma atualização do SSL. Como essa atualização estava sendo desenvolvida pela IETF e a Netscape não estava mais envolvida, o nome foi alterado para TLS. As diferenças entre a versão final do SSL (3.0) e a primeira versão do TLS não são radicais; a mudança de nome foi aplicada apenas para marcar a alteração da entidade responsável.

E já que são tão intimamente relacionados, os dois termos são frequentemente utilizados de forma intercambiável e confusa. Algumas pessoas ainda usam SSL para se referir ao TLS; outras usam o termo "criptografia SSL/TLS", porque o nome SSL ainda é amplamente reconhecido.

O SSL ainda está sendo atualizado?

O SSL não teve nenhuma atualização após a versão SSL 3.0, lançada em 1996, e agora é considerado obsoleto. Existem várias vulnerabilidades conhecidas no protocolo SSL e os especialistas em segurança recomendam descontinuar seu uso. Na verdade, a maioria dos navegadores mais modernos já não é compatível com SSL.

O protocolo de criptografia atualizado que ainda está sendo implementado on-line é o TLS, mesmo que muitas pessoas ainda se refiram a ele como "criptografia SSL". Esse fato pode causar confusão entre os consumidores que compram soluções de segurança. A verdade é que qualquer fornecedor que ofereça "SSL" atualmente está quase certamente fornecendo proteção TLS, que se tornou o padrão do setor há mais de 20 anos. No entanto, como muitas pessoas ainda estão procurando "proteção SSL", o termo continua em destaque em muitas páginas de produtos.

O que é certificado SSL?

O SSL só pode ser implementado por sites que tenham um certificado SSL (tecnicamente, um "certificado TLS"). Um certificado SSL é como uma carteira de identidade ou um crachá, que provam que uma pessoa é quem ela diz ser. Os certificados SSL são armazenados e exibidos na Internet pelo servidor de um site ou aplicação.

Uma das informações mais importantes em um certificado SSL é a chave pública do site. A chave pública torna a criptografia possível. O dispositivo de um usuário exibe a chave pública e a utiliza para estabelecer chaves de criptografia seguras com o servidor web. Enquanto isso, o servidor web tem também uma chave privada que é mantida em segredo; a chave privada descriptografa os dados criptografados com a chave pública.

As autoridades de certificação (CA) são responsáveis pela emissão de certificados SSL.

Quais são os tipos de certificados SSL?

Existem vários tipos de certificados SSL diferentes. Um certificado pode ser aplicado a um único site ou a diversos sites, dependendo do tipo:

  • Domínio único: um certificado SSL de domínio único aplica-se apenas a um domínio (um "domínio "é o nome de um site, como www.cloudflare.com).
  • Curinga: como um certificado de domínio único, um certificado SSL curinga aplica-se apenas a um domínio. No entanto, também inclui os subdomínios desse domínio. Por exemplo, um certificado curinga pode abranger www.cloudflare.com, blog.cloudflare.com, e developers.cloudflare.com, enquanto um certificado de domínio único abrangeria apenas o primeiro.
  • Multidomínio: como o próprio nome indica, os certificados SSL multidomínio podem ser aplicados a vários domínios não associados.

Os certificados SSL também vêm com diferentes níveis de validação. Um nível de validação é como uma verificação de antecedentes, e o nível muda dependendo do rigor da verificação.

  • Validação do domínio: esse é o nível de validação menos rigoroso e mais barato. Tudo o que um empresa precisa fazer é provar que controla o domínio.
  • Validação da organização: esse é um processo mais manual — a autoridade de certificação entra em contato diretamente com a pessoa ou empresa e solicita o certificado. Esses certificados são mais confiáveis para os usuários.
  • Validação estendida: requer uma verificação completa dos antecedentes de uma organização antes que o certificado SSL possa ser emitido.

Como uma empresa pode obter um certificado SSL?

A Cloudflare oferece certificados SSL gratuitos para todas as empresas. Um site protegido pela Cloudflare pode ativar o SSL com apenas alguns cliques. Os sites também podem precisar configurar um certificado SSL em seu servidor de origem: esse artigo inclui instruções adicionais.

Saiba mais sobre SSL/TLS

Para saber mais sobre como funciona a criptografia SSL/TLS, consulte o artigo O que é TLS?. Use a Central de Diagnósticos da Cloudflare para verificar se um site está implementando a criptografia SSL/TLS corretamente.