{"id":590,"date":"2013-05-07T19:48:45","date_gmt":"2013-05-07T19:48:45","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=590"},"modified":"2020-02-26T13:11:44","modified_gmt":"2020-02-26T16:11:44","slug":"https-e-certificados-digitais","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/https-e-certificados-digitais\/590\/","title":{"rendered":"&#8216;HTTPS&#8217; e Certificados Digitais"},"content":{"rendered":"<p>Para discutir profundamente sobre \u2018HTTPS\u2019 e Certificados Digitais, precisamos falar sobre criptografia, mas n\u00e3o se preocupe, ser\u00e1 indolor. O importante \u00e9 entender que: neste momento uma criptografia forte \u00e9 a melhor forma de proteger a \u00a0nossa informa\u00e7\u00e3o.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/05\/06152149\/https_title.jpg\"><img decoding=\"async\" class=\"alignnone size-full wp-image-592\" alt=\"https_title\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/05\/06152149\/https_title.jpg\" width=\"640\" height=\"420\"><\/a><\/p>\n<p>Todos n\u00f3s fomos instru\u00eddos a procurar o cadeado verde ou cinza que, na maioria dos navegadores, indica o cumprimento das medidas de seguran\u00e7a \u00a0do protocolo de transfer\u00eancia de hipertexto. Nos ensinaram, de todas as maneiras poss\u00edveis, que \u2018HTTPS\u2019 \u00e9 sin\u00f4nimo de seguran\u00e7a e que devemos garantir que vemos \u2018HTTPS\u2019 na barra do navegador antes de colocar informa\u00e7\u00e3o delicada na web,<a href=\"https:\/\/www.kaspersky.com.br\/blog\/como-comprar-on-line-com-seguranca\/\" target=\"_blank\" rel=\"noopener\"> especialmente quando se trata de bancos ou informa\u00e7\u00e3o de pagamento. Mas o que \u00e9 realmente \u2018HTTPS\u2019?<\/a><a href=\"https:\/\/www.securelist.com\/en\/analysis\/204792205\/Online_shopping_made_safe_and_convenient\" target=\"_blank\" rel=\"noopener nofollow\"><br>\n<\/a><\/p>\n<p>\u2018HTTPS\u2019 \u00e9 a vers\u00e3o segura do protocolo de transfer\u00eancia de hipertexto, que \u00e9 basicamente a maneira como movemos a informa\u00e7\u00e3o na internet. Basicamente, conectar-se a um website via \u2018HTTPS\u2019 (ao inv\u00e9s do \u2018HTTP\u2019) significa que qualquer informa\u00e7\u00e3o trocada, seja login, coment\u00e1rios em um blog, ou o pagamento de uma fatura, passar\u00e1 pela TLS (encrypted transport layer security) ou seu predecessor o SSL (security sockets layer).<\/p>\n<p>Bem, ent\u00e3o \u2018HTTPS\u2019 \u00e9 sin\u00f4nimo de criptografia e criptografia significa seguran\u00e7a, mas como saber que estou me comunicando com a pessoa ou servi\u00e7o com quem desejo estabelecer uma comunica\u00e7\u00e3o online? Tenho certeza de que voc\u00ea se perguntou: como posso ter certeza de que o site que vejo \u00e9 verdadeiro e n\u00e3o uma c\u00f3pia falsa? Imagine que voc\u00ea est\u00e1 comprando um <a href=\"http:\/\/brazil.kaspersky.com\/produtos\/produtos-para-usuarios-domesticos\" target=\"_blank\" rel=\"noopener nofollow\">antivirus da Kaspersky<\/a>, como ter certeza que sua informa\u00e7\u00e3o de pagamento est\u00e1 chegando at\u00e9 n\u00f3s e n\u00e3o a um hacker escondido num quarto escuro da Romania? Al\u00e9m disso, como garantir que a informa\u00e7\u00e3o transferida n\u00e3o est\u00e1 sendo observada por terceiros? \u00c9 aqui que os certificados digitais entram em cena.<\/p>\n<p>Voc\u00ea pode simplesmente digitar \u2018HTTPS\u2019 na barra de endere\u00e7o de qualquer site. Se a p\u00e1gina tiver um certificado v\u00e1lido, o servidor que a hospeda ir\u00e1 apresent\u00e1-lo a seu navegador (que tem uma lista de certificados embutida) e nada muito vis\u00edvel acontecer\u00e1. Um certificado digital \u00e9 algo que comprova que o o site ou servi\u00e7o corresponde a como se identifica. Dependendo do navegador voc\u00ea pode clicar no pequeno cadeado (ou equivalente) para encontrar alguma informa\u00e7\u00e3o sobre o certificado e seu expeditor. De todas as maneiras, se tentar acessar a vers\u00e3o \u2018HTTPS\u2019 de um site que n\u00e3o possui um certificado v\u00e1lido, voc\u00ea ver\u00e1 um aviso SSL como este:<\/p>\n<p>\u00a0<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/05\/06152146\/badsslcert.png\"><img decoding=\"async\" class=\"alignnone size-full wp-image-593\" alt=\"badsslcert\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/05\/06152146\/badsslcert.png\" width=\"930\" height=\"376\"><\/a><\/p>\n<p>\u00a0<\/p>\n<p>Este aviso \u00e9 a forma de seu navegador avisar que n\u00e3o consegue comprovar a identidade do site com o qual est\u00e1 tentando se conectar. Voc\u00ea provavelmente imagina porque \u00e9 importante ter um sistema de certificados como este para verificar que sites e servi\u00e7os s\u00e3o quem dizem ser. Mas se sua imagina\u00e7\u00e3o n\u00e3o est\u00e1 funcinando, leia sobre os ataques<a href=\"https:\/\/www.kaspersky.com.br\/blog\/what-is-a-man-in-the-middle-attack\/\" target=\"_blank\" rel=\"noopener\"> man-in-the-middle.<\/a><\/p>\n<p>Agora que tem conhecimentos b\u00e1sicos sobre \u2018HTTPS\u2019 e certificados, deve estar pensando como as duas coisas est\u00e3o relacionadas. Em resumo, \u00a0\u2018HTTPS\u2019 significa que a informa\u00e7\u00e3o enviada est\u00e1 segura pelo tr\u00e2nsito encriptado e o certificado digital garante que ela est\u00e1 indo para onde deveria.<\/p>\n<p>Explicamos como os certificados funcionam e para que servem, mas os certificados n\u00e3o s\u00e3o id\u00e9ias inteng\u00edveis, ent\u00e3o como s\u00e3o? Um certificado digital \u00e9 um documento eletr\u00f4nico que cont\u00e9m uma assinatura algor\u00edtma digital \u00fanica, a informa\u00e7\u00e3o de identifica\u00e7\u00e3odo site ou servi\u00e7o para que o certificado foi emitido, a informa\u00e7\u00e3o de identifica\u00e7\u00e3o do emissor e o per\u00edodo de validade. Esta assinatura algor\u00edtma \u00e9 a finalidade de um certificado digital, parte que confirma que voc\u00ea est\u00e1 realmente se comunicando com quem deseja e de que a informa\u00e7\u00e3o est\u00e1 circulando por uma via encriptada.<\/p>\n<p>A \u00faltima parte do quebra-cabe\u00e7as que requer explica\u00e7\u00e3o s\u00e3o os emissores do certificado, organiza\u00e7\u00f5es que vendem ou emitem certificados digitais, conhecidas como autoridades de certifica\u00e7\u00e3o. GoDaddy, VeriSign, e Entrust s\u00e3o tr\u00eas autoridades de certitifica\u00e7\u00e3o top of mind. Para ser uma autoridade de certificados digitais \u00e9 preciso gerar confian\u00e7a.<\/p>\n<p>Atualmente esta confian\u00e7a se baseia numa lista chamada \u2018certificadoras ra\u00edzes\u2019 que s\u00e3o confi\u00e1veis para a maioria dos navegadores. Elas tamb\u00e9m possuem o poder de extender sua credibilidade a outras autoridades de certificado . Por exemplo, uma pessoa chamada Larry emite certificados e \u00e9 um certificador ra\u00edz , seu navegador aprovar\u00e1 qualquer certificado emitido por Larry assim como certificados aprovados por ele. Existem muitas autoridades de certifica\u00e7\u00e3o por a\u00ed, ent\u00e3o deixamos que 1 das mais ou menos 36 autoridades confi\u00e1veis cuidar de nossa seguran\u00e7a e viveremos felizes para sempre, certo? Na verdade n\u00e3o.<\/p>\n<p>O atual sistema de certifica\u00e7\u00e3o \u00e9 complicado, conturbado e controverso. Os certificados digitais, as assinaturas que eles cont\u00eam e as autoridades de certificados que votam nos d\u00e3o uma base para detectar autenticidade e credibilidade online. Ironicamente, todo mundo da ind\u00fastria sabe que o sistemas de autoriades certificadoras e assinaturas digitais est\u00e1 comprometido sem esperan\u00e7as e tremendamente inadequado, ainda assim aqui estamos, contando com ele para fazer pagamentos e nos comunicar diariamente.<\/p>\n<p>Viola\u00e7\u00f5es de grandes autoridades de certifica\u00e7\u00e3o como DigiNotar e Comodo\u00a0e a revela\u00e7\u00e3o de que n\u00e3o uma, mas duas autoridades certificadoras foram atacadas por virus mostram que um novo sistema \u00e9 necess\u00e1rio. O pesquisador de seguran\u00e7a Moxie Marlinspike sugeriu que seu sistema de \u201cConverg\u00eancia SSL\u201d \u00e9 a solu\u00e7\u00e3o para o problema de certificados. E mesmo que o lan\u00e7amento do mesmo durante a Confer\u00eancia Black Hat Security do ano passado tenha sido um sucesso un\u00e2nime, n\u00f3s continuamos sofrendo com um sistema de certificados obsoleto. Estamos adivinhando quais s\u00e3o as melhores certificadoras enquanto nos comunicamos e gastamos dinheiro online. De vez em quando escutamos sobre a viola\u00e7\u00e3o de uma autoridade de certifica\u00e7\u00e3o, reclamamos do problema e depois seguimos em frente sem encontrar uma solu\u00e7\u00e3o.<\/p>\n<p>Ent\u00e3o o que podemos fazer? Garantir que est\u00e1 navegando em \u2018HTTPS\u2019 quando usa informa\u00e7\u00e3o delicada, como informa\u00e7\u00e3o de pagamento, logins ou at\u00e9 emails. E clicar no cadeado para avaliar o certificado por conta pr\u00f3pria. Os mais experientes ainda podem acompanhar as not\u00edcias de seguran\u00e7a e revogar manualmente os certificados das autoridades que est\u00e3o comprometidas. Revogar sua credibilidade far\u00e1 com que seu navegador deixe de aprovar os certificados emitidos por aquelas autoridades. A melhor forma de revogar a credibilidade de uma autoridade de certifica\u00e7\u00e3o comprometida \u00e9 nas configuara\u00e7\u00f5es de seu navegador, mas n\u00e3o se preocupe tanto,Microsoft, Mozilla, e Google t\u00eam sido bastante r\u00e1pidos em revogar a credibilidade (pena que n\u00e3o podemos dizer o mesmo de Apple). Enquanto estiver com o navegador e os patches de seu sistema operativo atualizados voc\u00ea estar\u00e1 protegido contra certificados maliciosos e falsos.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Para discutir profundamente sobre \u2018HTTPS\u2019 e Certificados Digitais, precisamos falar sobre criptografia, mas n\u00e3o se preocupe, ser\u00e1 indolor. O importante \u00e9 entender que: neste momento uma criptografia forte \u00e9 a<\/p>\n","protected":false},"author":51,"featured_media":591,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[],"class_list":{"0":"post-590","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/https-e-certificados-digitais\/590\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/590","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/51"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=590"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/590\/revisions"}],"predecessor-version":[{"id":14133,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/590\/revisions\/14133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/591"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}