Por Rakesh Jain
O que é SSL (Secure Sockets Layer)
É um protocolo para criptografar e proteger as comunicações que ocorrem na Internet.
Ele foi substituído há algum tempo por um protocolo atualizado chamado TLS (Transport Layer Security).
O principal caso de uso de SSL / TLS é proteger as comunicações entre um cliente e um servidor, mas também pode proteger e-mail, VoIP e outras comunicações em redes não seguras.
Por que usar SSL?
Se informações como IDs de e-mail, IDs de usuário, senhas, detalhes de cartão de crédito / débito e detalhes de contas bancárias forem transmitidas por meio de um protocolo desprotegido, haverá um risco significativo de que essas informações privadas cheguem às mãos de criminosos cibernéticos. Essa interceptação de dados transmitidos é chamada de ataque Man-in-the-middle (MITM).
“Por isso precisamos proteger este processo de Transmissão de DADOS.“
O que é certificado SSL?
Um certificado SSL é um arquivo instalado no servidor de origem de um site. É simplesmente um arquivo de dados contendo a chave pública e a identidade do proprietário do site, junto com outras informações. Basicamente, os detalhes da parte para quem o certificado foi emitido.
As informações incluem:
Nome de domínio, período de validade do certificado, detalhes da autoridade de certificação (CA), chave pública, algoritmo de chave, algoritmo de assinatura de certificado, versão SSL / TLS, impressão digital, algoritmo de impressão digital, nome da organização, proprietário do site, endereço, cidade, estado , País.
Sem um certificado SSL/TLS, o tráfego de um site não pode ser criptografado.
O que um certificado SSL faz?
O protocolo SSL determina a criptografia para o link e os dados sendo transmitidos. Os navegadores podem interagir com servidores da web protegidos usando o protocolo de segurança SSL, mas para fazer isso eles precisam do Certificado SSL para estabelecer uma conexão segura.
O uso mais comum de certificados SSL é a navegação segura na web por meio do protocolo HTTPS.
O que é criptografia?
Como sabemos, os certificados SSL facilitam a criptografia.
Mas o que é isso ??
Se você enviar qualquer dado em um site habilitado para HTTPS, essa informação é convertida em uma string ilegível de caracteres. Por exemplo, se sua senha for 1234, ela pode ser convertida em algo como ^% jfdgrt5 / * u. Isso torna virtualmente impossível para qualquer hacker interpretar as informações, mesmo que consiga interceptar os dados de alguma forma.
Como funciona o SSL / TLS?
Vamos entender isso com um exemplo muito simples …
Quando você acessa um site, a comunicação ocorre entre o navegador da web do seu PC ou dispositivo móvel e o servidor da web do site. A informação é então transferida de ambos os lados.
Em seguida, o processo de handshake SSL / TLS entra em cena. Os handshakes TLS ocorrem depois que uma conexão TCP foi aberta por meio de um handshake TCP. Um handshake TLS também ocorre sempre que qualquer outra comunicação usa HTTPS, incluindo chamadas de API e consultas DNS sobre HTTPS.
O que é handshake SSL / TLS
As sessões de comunicação TLS começam com um handshake TLS.
O navegador se conecta ao servidor, protegido por SSL / TLS (https).
O servidor envia uma cópia do certificado SSL, incluindo a chave pública.
O navegador verifica o certificado e, se for válido, cria, criptografa e envia de volta uma chave de sessão simétrica usando a chave pública do servidor.
O servidor descriptografa a chave de sessão simétrica usando sua chave privada e envia de volta uma chave de sessão criptografada para iniciar a sessão criptografada.
Como um site obtém um certificado SSL?
Os proprietários de sites precisam obter um certificado SSL de uma autoridade de certificação e, em seguida, instalá-lo em seu servidor da web (geralmente um host da web pode lidar com esse processo).
Uma autoridade de certificação é uma parte externa que pode confirmar que o proprietário do site é quem diz ser. Eles mantêm uma cópia dos certificados que emitem.
SSL: Tipos de certificados para proteger seu site
Tipos de Certificados SSL para proteger seu site
SSL vs TLS – Qual a diferença?
Qual é a diferença entre HTTP e HTTPS?
O S em “HTTPS” significa “seguro”. HTTPS é apenas HTTP com SSL / TLS. Um site com um endereço HTTPS tem um certificado SSL legítimo emitido por uma autoridade de certificação, e o tráfego de e para esse site é autenticado e criptografado com o protocolo SSL / TLS.
Onde encontrar detalhes de autoridade de certificação confiável em um navegador?
Aqui estou dando um exemplo do Chrome no Windows
Como meu navegador confia inerentemente em uma CA?
Seu navegador (e possivelmente seu sistema operacional) vem com uma lista de CAs confiáveis. Esses certificados pré-instalados servem como âncoras de confiança para derivar toda a confiança adicional.
Ao visitar um site HTTPS, seu navegador verifica se a cadeia de confiança apresentada pelo servidor durante o handshake TLS termina em um dos certificados raiz confiáveis localmente.
Os certificados raiz expiram?
Os certificados raiz expiram, mas tendem a ter tempos de validade excepcionalmente longos (geralmente cerca de 20 anos). Você pode esperar que, com uma atualização de seu navegador ou sistema operacional, você obtenha novos certificados de raiz antes que os antigos expirem.
Rakesh Jain – DevOps Engineer e um Red Hat Certified Architect com experiência prática no Jenkins | Git | Docker | Kubernetes | Ansible | Prometheus | Grafana | Nuvem AWS
Fonte: https://medium.com
O Crypto ID apresenta o melhor conteúdo sobre TLS/ SSL do Brasil. Confira e acompanhe!
- Let’s Encrypt Abandona Protocolo OCSP: O Que Muda Para Você? Por Márcio D’Avila
- Gerenciar certificados digitais nunca foi tão fácil: DigiCert ONE chega ao Microsoft Azure Marketplace
- Computação quântica na nuvem: como fica a segurança digital?
- ICP-Brasil interrompe emissão de certificados digitais SSL/TLS para websites
- Check Point Software aprimora a detecção de phishing e malware
- GMO GlobalSign inclui suporte ACME para emissão de certificados de domínio interno
- Google Desconfia de Certificados Digitais TLS da Entrust
- GMO GlobalSign lança o Gerenciador de Automação de Certificados
- Telefónica, IDEMIA Secure Transactions e Quside Lançam Conectividade Quantum-Safe para Dispositivos IoT com Uso de TLS
- GlobalSign se posiciona sobre Serasa descontinuar unidade de SSL
- Por que meu SSL deve expirar a cada 3 meses? Por Nick França, CTO de SSL na Sectigo
- HID aprimora suas ofertas de PKI com a aquisição do confiável provedor de serviços de certificados ZeroSSL
- Site Seguro: saiba o que fazer para ter um ambiente seguro na rede
- Análise do ano da GMO GlobalSign, fornecedora de segurança de identidade, assinatura digital e soluções para IoT
- CertiSign facilita ofertas de certificados SSL para aumentar a confiança dos consumidores durante as compras online na Black Friday