Antes de mergulhar nos muitos benefícios e usos do  certificado SSL , pode ser útil entender a tecnologia subjacente. Este post fornece uma breve lição de história sobre como Secure Socket Layer (SSL) evoluiu para  Transport Layer Security (TLS)  e uma explicação simples de como eles fornecem segurança para conexões de Internet pública e Intranet corporativa.

Em particular, o objetivo é fornecer uma visão geral completa do  protocolo Secure Socket Layer (SSL)  e certificados para ajudá-lo a tomar as melhores decisões em relação  ao gerenciamento de certificados  para sua empresa.

O que é SSL?

SSL é o nome original do  protocolo criptográfico  para autenticação e criptografia de comunicações em uma rede. Oficialmente, o SSL foi substituído por um protocolo atualizado chamado TLS há algum tempo. 

Linha do tempo SSL para TLS

A seguir, uma linha do tempo de como o SSL mudou ao longo do tempo: 

• SSL é um protocolo de segurança desenvolvido pela Netscape nos anos 90 para criptografar e proteger as comunicações pela Internet. O SSL v1.0 nunca foi lançado devido a problemas de segurança. 
• Em 1995, o Netscape lançou o SSL v2.0, mas ainda apresentava muitas falhas. 
• O SSL v3.0 foi lançado em 1996 e abordou os problemas do SSL v2.0. Esta versão ofereceu melhorias incríveis e mudou para sempre a forma como a internet funciona. No entanto, a partir de 2015, o SSL 3.0 e as versões anteriores foram descontinuados. 
• O TLS foi desenvolvido pela Internet Engineering Task Force (IETF) como uma melhoria do SSL; O TLS v1.0 lançado em 1999 e baseado no SSL v3.0, com pequenas melhorias de segurança ainda significativas o suficiente para que o SSL v3.0 e o TLS v1.0 não interoperassem. 
• O TLS v1.1 foi lançado sete anos depois, em 2006, e foi substituído pelo TLS v1.2 logo depois, em 2008. Isso prejudicou a adoção do TLS v1.1, pois muitos sites atualizaram do TLS v1.0 diretamente para o TLS v1.2. 11 anos depois, estamos agora no TLS v1.3. 
• O TLS v1.3 foi finalizado em 2018 e após quase 30 rascunhos do IETF. O TLS v1.3 apresenta melhorias significativas em relação aos seus predecessores. Microsoft, Apple, Google, Mozilla, Cloudflare e Cisco descontinuaram TLS v1.0 e TLS v1.1 em março de 2020. TLS v1.2 e TLS v1.3 agora são os únicos protocolos SSL ainda disponíveis.  

Portanto, na realidade,  o TLS é simplesmente uma versão mais recente do SSL.  No entanto, a maioria das pessoas ainda diz SSL em vez de TLS. SSL e TLS têm o mesmo propósito, protegendo informações confidenciais durante a transmissão, mas sob o capô, a criptografia mudou muito do SSL original para o TLS v1.3 mais recente.  

Os certificados digitais são o núcleo do protocolo SSL; eles iniciam as conexões seguras entre servidores (por exemplo, sites, intranets ou VPN) e clientes (por exemplo, navegadores da Web, aplicativos ou clientes de e-mail).

Os certificados SSL oferecem proteção adequada contra phishing e espionagem de transmissões e autenticação automática de um servidor, como um domínio de site. Se um site solicitar informações confidenciais dos usuários, ele precisará ter um certificado SSL para criptografá-lo durante a transmissão. Se não houver certificado SSL, essa conexão não deve ser confiável com nenhuma informação privada.

Como funciona?

O objetivo principal do SSL é fornecer uma conexão de camada de transporte segura entre dois terminais, o servidor e o cliente. Essa conexão geralmente ocorre entre um servidor de site e o navegador do cliente ou um servidor de e-mail e o aplicativo de e-mail do cliente, como o Outlook. 

O SSL compreende dois protocolos separados: 

1. O  protocolo Handshake  autentica o servidor (e opcionalmente o cliente), negocia conjuntos de criptografia e gera a chave compartilhada. 
2. O  protocolo Record  isola cada conexão e usa a chave compartilhada para proteger as comunicações pelo restante da sessão. 

O Protocolo de Aperto de Mão

O handshake SSL é um processo de criptografia assimétrica  para estabelecer um canal seguro para o servidor e o cliente se comunicarem — as  conexões HTTPS  sempre começam com o handshake SSL.  

Um handshake bem-sucedido ocorre por trás do navegador ou aplicativo do cliente, instantânea e automaticamente — sem atrapalhar a experiência do usuário do cliente. No entanto, um handshake com falha aciona o término da conexão, geralmente precedido por uma mensagem de alerta no navegador do cliente. 

Desde que o SSL seja válido e correto, o handshake oferece os seguintes benefícios de segurança: 

• Autenticação:  O servidor é sempre autenticado enquanto a conexão for válida. 
• Confidencialidade:  Os dados enviados via SSL são criptografados e visíveis apenas para o servidor e cliente. 
• Integridade:  As assinaturas de certificados digitais garantem que os dados não foram modificados durante a transferência. 

Em resumo, os certificados SSL funcionam fundamentalmente usando uma combinação de criptografia assimétrica e criptografia simétrica para comunicações pela Internet. Existem também outras infraestruturas envolvidas na obtenção de comunicação SSL nas empresas, conhecidas como Public Key Infrastructures.

Como funcionam os certificados SSL?

Ao receber o certificado SSL, você o instala em seu servidor. Você pode instalar um certificado intermediário que estabeleça a credibilidade do seu certificado SSL ao encadeá-lo ao certificado raiz da CA.

Os certificados raiz são autoassinados e formam a base de uma  infraestrutura de chave pública  (PKI) baseada em X.509. A PKI que suporta HTTPS para navegação segura na Web e esquemas de assinatura eletrônica depende de certificados raiz. Em outras aplicações de  certificados X.509 , uma hierarquia de certificados atesta a validade da emissão de um certificado. Essa hierarquia é chamada de certificado “ Chain of Trust ”.

Cadeia de confiança

A Cadeia de Confiança refere-se ao seu certificado SSL e seu link para uma autoridade de certificação confiável. Para que um certificado SSL seja confiável, ele deve ser rastreado até uma CA raiz confiável. Uma Cadeia de Confiança garante privacidade, confiança e segurança para todas as partes envolvidas.

No centro de cada PKI está a CA raiz; ele serve como fonte confiável de integridade para todo o sistema. A autoridade de certificação raiz assina um certificado SSL, iniciando assim a Cadeia de Confiança. Se a CA raiz for publicamente confiável, qualquer certificado de CA válido vinculado a ela será considerado confiável por todos os principais navegadores da Internet e sistemas operacionais.

Como uma Cadeia de Confiança é Verificada?

O cliente ou navegador conhece inerentemente as chaves públicas de um punhado de CAs confiáveis ​​e usa essas chaves para verificar o certificado SSL do servidor. O cliente repete o processo de verificação recursivamente com cada certificado na Cadeia de Confiança até rastreá-lo de volta ao início, a CA raiz.

O que faz um Certificado SSL?

Em conexões HTTP não seguras, os hackers podem facilmente interceptar mensagens entre cliente e servidor e lê-las em texto simples. As conexões criptografadas embaralham a comunicação até que o cliente possa descriptografá-la com a outra chave de sessão.

Quando instalados em um servidor da Web, os certificados SSL usam um sistema de par de chaves pública/privada para iniciar o protocolo HTTPS e permitir conexões seguras para usuários e clientes se conectarem.

Para a Internet: O que os certificados SSL fazem para sites?

Quando um certificado SSL assinado protege um site, ele prova que a organização verificou e autenticou sua identidade com o terceiro confiável; como o navegador confia na CA, ele agora também confia na identidade dessa organização.

A maneira mais fácil de verificar se o site tem um SSL instalado é olhar para o seu navegador; veja se a URL do site começa com “HTTPS:” pois isso mostra se tem um certificado SSL instalado no servidor. Nesse caso, clique no ícone de cadeado na barra de endereços para visualizar as informações do certificado.

Os navegadores da Web usam o Protocolo de Transferência de Hipertexto (HTTP) para se conectar a servidores da Web que escutam na porta TCP 80 por padrão. HTTP é um protocolo de texto simples, o que significa que é relativamente fácil para um hacker interceptar e ler os dados de trânsito. Não é adequado para qualquer aplicação que exija confidencialidade.

O SSL usa a porta número 443, criptografando os dados trocados entre o navegador e o servidor e autenticando o usuário. Portanto, quando as comunicações entre o navegador da Web e o servidor precisam ser seguras, o navegador muda automaticamente para SSL — ou seja, desde que o servidor tenha um certificado SSL instalado.

Estabelecer uma conexão com um servidor com um certificado assinado por uma CA confiável ocorre sem dificuldades adicionais para o usuário. Quando um usuário da Internet visita um site protegido por SSL, ele está mais disposto a enviar suas informações de contato ou comprar com cartão de crédito. Além disso, ter um certificado SSL em seu site aumenta sua posição no ranking, tornando mais fácil para usuários e clientes encontrarem seu site.

O certificado SSL atesta a confiabilidade de um site, mas com certificados mais avançados, toda a empresa pode ser certificada SSL.

Para Intranets: O que os certificados SSL fazem para aplicativos em um ambiente corporativo?

Embora o objetivo original do SSL fosse para a World Wide Web, as empresas usam certificados SSL para proteger uma ampla variedade de conexões internas e externas. Os casos de uso mais comuns para certificados Enterprise SSL incluem:

• Controles de acesso à rede
• Redes Privadas Virtuais (VPN)
• Logon único
• Internet das Coisas (IoT)

Se configurados corretamente, todos esses aplicativos são executados no protocolo SSL. Vamos dar uma olhada mais de perto nesses exemplos na seção a seguir:

Acesso à rede

Os funcionários que conectam dispositivos sem fio à rede corporativa precisam de facilidade de acesso e, ao mesmo tempo, a rede deve impedir o acesso não autorizado aos recursos corporativos. Os funcionários podem usar certificados SSL para acessar e criptografar arquivos de seus dispositivos, servidores corporativos ou até mesmo servidores em nuvem para indivíduos aprovados.

Evite a necessidade de lembrar/redefinir senhas longas e difíceis de lembrar que mudam a cada 90 dias, substituindo-as por uma identidade digital. Coloque uma identidade digital na área de trabalho, servidor ou pontos de acesso Wi-Fi do Windows ou Mac, para que apenas dispositivos autorizados possam se conectar à sua rede corporativa.

Logon único

Os funcionários corporativos de hoje têm acesso a uma ampla variedade de serviços de identidade ou produtos de federação. As empresas costumam usar um produto Web Single Sign-on para acessar todos os seus recursos no portal corporativo ou serviços em nuvem.

Internet das Coisas

Uma identidade digital pode ser instalada em seu dispositivo IoT e no dispositivo ou aplicativo do usuário para garantir que apenas dispositivos IoT confiáveis ​​possam se conectar à sua rede. O dispositivo IoT recebe instruções ou envia dados para aplicativos autorizados e os usuários possuem uma identidade digital.

SSL VPN

Uma Rede Privada Virtual Secure Sockets Layer (SSL VPN) é uma rede virtual privada (VPN) criada usando o Secure Sockets Layer (SSL) Os departamentos de TI podem dimensionar a solução e seus serviços de infraestrutura necessários. O SSL VPN permite controle granular sobre o acesso de aplicativos gerenciados a aplicativos da Web corporativos. Talvez os benefícios mais significativos do SSL VPN venham da eficiência e produtividade obtidas ao liberar recursos de TI ao permitir que todos os certificados digitais sejam acessados ​​remotamente.