Quando está navegando pela Internet, você tanto recebe informações (abrindo páginas), como envia (se logando em sites). E todo esse tráfego de dados se dá em formato de texto. Uma pessoa que intercepte uma porção desses dados enviados (em um ataque conhecido como “man in the middle”, por exemplo) vai conseguir ler perfeitamente as informações que capturou.
Permitir que conexões entre site e navegador ocorram sem proteção constitui um risco alto de segurança, pois há casos em que as informações enviadas são sigilosas, como senhas, números de cartão de crédito e dados pessoais, dados esses que ficam expostos a ataques. Para proteger essa troca de dados entre o usuário e o site é que existem os chamados certificados digitais.
Para proteger e identificar
Um certificado digital pode ser entendido como um “documento eletrônico” que é verificado pelo navegador e que possibilita:
- Ativar a criptografia dos dados, permitindo a troca segura de informações e garantindo que qualquer dado interceptado seja ilegível;
- Validar as informações de propriedade do site, confirmando sua legitimidade.
É possível fazer seu próprio certificado (que é chamado de certificado auto-assinado), porém os navegadores não o reconhecerão e mostrarão uma mensagem alertando que o certificado presente não foi emitido por uma entidade autorizada e que dessa forma, os dados da propriedade do site podem não ser legítimos. Para ser reconhecido por um navegador, um certificado digital precisa ser emitido por Autoridades Certificadoras, que ficam responsáveis por checarem os dados do proprietário do site.
Os tipos de certificados
Existem vários tipos de certificados digitais, mas no que se refere a certificados digitais para sites, eles podem ser divididos essencialmente em três categorias:
1 – Certificados de domínio
São certificados que validam apenas a propriedade do domínio e protegem a troca de dados entre site e usuário. Por apenas validarem a propriedade do domínio, não é necessária nenhuma burocracia e os certificados podem ser emitidos com muita rapidez, o que permite preços mais acessíveis.
2 – Certificados organizacionais
São certificados que além da validação de domínio e proteção da troca de dados, garantem também que os dados do proprietário do site são legítimos. Essa verificação demanda uma interferência humana maior no processo e o tempo para emissão do certificado é maior, assim como o preço.
3 – Certificados de validação estendida
É o último nível de segurança. Abrange tudo o que os outros tipos oferecem e ainda ativa a famosa “barra de endereços verde” do navegador, de forma que o nome da organização por trás do site fica aparente na barra de endereços, ao lado do endereço do site.
O que considerar ao escolher um certificado digital
Embora o fator preço seja bastante relevante, é inegável o efeito que a barra de certificação estendida tem sobre os usuários. Um site com essa barra tende a ter uma taxa de conversão mais alta. Porém, o custo-benefício do certificado de domínio é muito atraente, e o fato de não haver diferença imediatamente aparente entre o certificado de domínio e o organizacional e sua emissão descomplicada acaba pesando a favor do certificado de domínio. Se essa é a primeira vez que emitirá um certificado para seu site, o certificado de domínio é definitivamente a melhor opção, pois sua maior preocupação deve ser garantir a segurança da troca de dados entre seu site e o visitante, e isso todos os certificados fazem.
Caso seu site seja alvo de fraudes, por exemplo, sites com domínios parecidos que tentam se passar pelo seu e acabam sendo acessados acidentalmente por seus visitantes, vale a pena investir. Seja no certificado organizacional ou no de validação estendida, se torna muito importante deixar claro para o visitante que ele está em um site legítimo, e com o certificado de validação estendida, fica muito mais fácil para o visitante fazer essa identificação.
Vem mais por aí
No que se refere ao assunto certificados digitais, ainda existem diversos aspectos que precisam ser abordados, tais como certificados digitais wildcard, ou a necessidade ou não de um IP dedicado para se instalar um certificado em um site. Então fique por perto, esses assuntos serão discutidos em breve!