SSL

De Wiki Hostnet
Ir para: navegação, pesquisa
I ssl.png


SSL (Secure Socket Layer) é um protocolo de segurança cujo objetivo é fornecer segurança na comunicação entre o cliente e o servidor. O SSL permite que o aplicativo no cliente e o serviço no servidor se falem de forma segura, evitando questões como invasões, violação e falsificação de mensagens.


Para que serve?

É utilizado para criptografar os dados transmitidos durante a navegação de uma página, sendo considerado uma forma mais segura de transmitir dados entre um visitante e um site. Normalmente é utilizado em páginas onde informações pessoais são passadas e dados de cartão de crédito são informados.

Exemplos:

A página de ASSINE da Hostnet funciona com SSL: https://assine.hostnet.com.br/
A página de login e senha do HotMail por exemplo funciona com SSL https://www.hotmail.com

As principais vantagens de utilizar SSL são:

  • Ganhar vantagem em relação aos concorrentes por mostrar ser um site confiável e legítimo;
  • Oferecer garantia para os usuários que seus dados não serão adulterados ou forjados;
  • Garantir que os dados importantes dos usuários trafeguem com segurança sob criptografia forte;


Como saber se um site usa SSL?

No geral, na barra de endereços, ao invés de mostrar http (que é o protocolo), o site deve mostrar https. Exemplo: https://assine.hostnet.com.br/
Além disso, na barra de status deve aparecer um cadeado mostrando que o site é seguro.
Entretanto, é importante ressaltar que para cada navegador utilizado (firefox, mozilla...), o cadeado pode mudar de lugar e de forma. Você poderá ver na imagem a seguir, a forma e a posição do cadeado em alguns navegadores:

Navegadores.ssl.png


SSL Próprio

O que é?

É a SSL que rodará exclusivamente no seu site, deixando o seu endereço: https://www.seu_site.com.br


Qual é a versão disponibilizada?

TLS 1.1 e TLS 1.2.


Disponível em quais planos?

O SSL da CloudFlare está disponível de forma gratuita em todos os planos.

Porém também é possível contratar um SSL próprio para clientes do plano Private.


Como instalar o certificado SSL?

Acesse a página Ativando SSL na Hostnet.


É possível renovar o certificado SSL?

Não é possível renovar. Quando o serviço estiver próximo da data de expiração, é preciso contratar um novo.


Como é um certificado SSL?

O certificado SSL é um texto de código criptografado. O texto de um certificado começa com BEGIN CERTIFICATE entre traços e termina com END CERTIFICATE entre traços. Quando se compra um certificado SSL numa certificadora, normalmente ela enviará o certificado dentro de um rquivo ou por email. Quando a certificadora manda o certificado num arquivo, normalmente a extensão desse arquivo é .crt. Esse arquivo deverá ser aberto com um editor de texto para seja possível copiar o certificado.


Exemplo de certificado SSL:

 -----BEGIN CERTIFICATE-----
 MIIEvzCCA6egAwIBAgISESG0q8VlkMlLRKJHxZL5ceMpMA0GCSqGSIb3DQEBBQUA
 MC4xETAPBgNVBAoTCEFscGhhU1NMMRkwFwYDVQQDExBBbHBoYVNTTCBDQSAtIEcy
 MBsXDTEezMTIxMTExNTQwMVoXDTE0MTIxMjExNTQwMVowRDEhMB8GA1UECxMYRG9t
 YWluIENvbnRyb2wgVmFsaWRhdGVkMR8wHQYDVQQDDBYqLmtpbGxlcmhvc3RuZXRz
 c2wuY29tMIIBIjANBgkqhkiG923w0BAQEFAAOCAQ8AMIIBCgKCAQEAvey/42XA722x
 dtepCGjiIJ2VUMmYhGQJyqwYvxjCVrfBZEQwFi5GpcRE9i0Cv9PPp1LsffOGv2YlTz
 VhSdIMqyceweGsrppeqweMwOO20dg+HK5x0rAW9rW7Rjh5ihxCwHyB8i9ouoIZX7MXNHBAu
 7liLPOk4/BC9PqewqWaS8MBBdJNiSy+R9DeVg4V55BDc6FwNLB4XOhsjKFYQWZLbJIS8
 V/MC8Sw0yKEjI7ytxAcNkKUJGtHbfczZI9C/bGsSadYL6Ne13gPla6NytzLtSNYT
 vPo88QOral3CkHNMhr12NE44vgBXGY1wQL4B0pW+PwT3f1Y1nWrJ6UD7fZB5RlXT
 0hPYr5LpqQIDAQABo4IBvzCCAbswDgYDVR0PAQH/BAQDAgWgMEkGA1UdIARCMEAw
 PgYGZ4EMAQIBMDQwMgYIKwYBBQUHAgEWJmh0dHBzOi8vd3d3Lmdsb2JhbHNpZ24u
 Y29tL3JlcG9zaXRvcnkveDcGA2UdEQQwMC6CFioua2lsbGVyaG9zdG5ldHNzbC5j
 b22CFGtpbGxlcmhvc3RuZXRzc2wuY29tMAkGA1UdEwQCMAAwHQYDVR0lBBYwFAYI
 KwYBBQUHAwEGCCsGAQUFBwMCMDoGA1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcmwy
 LmFscGhhc3NsLmNvbS9ncy9nc2FscGhhZzIuY3JsMH8GCCsGAQUFBwEBBHMwcTA8
 BggrBgEFBQcwAoYwaHR0cDdvL3NlY3VyZTIuYWxwaGFzc2wuY29tL2NhY2VydC9n
 c2FscGhhZzIuY3J0MDEGCCsGAQUFBzABhiVodHRwOi8vb2NzcDIuZ2xvYmFsc2ln
 bi5jb20vZ3NhbHBoYWcyMB0GA1UdDgQWBBTkib0I3hKo+HJvGMc2KRvfYdTwVzAf
 BgNVHSMEGDAWgBQU6hlV8A4NMsYfdDO3jmYaTBIxHjANBgkqhkiG9w0BAQUFAAOC
 AQEAhMlaYVMakzI5AbejMjlTb2HaMyvLUgp5ZkLPD0KS2okLE5avf3M5dcUbAcR8
 VeXLQyPhzvg/f73dtPmOWJ3Ynf6yGHkM4LSnMcXxADMHhmv1naTnQ+T5biPW059n
 7jHf0svxF8Dniaj8EmSDGf482sfknetCn6q7GQk8Ll3XAnVNJM7zeqCZwPOk9ZND
 USfRSjihCYKx2vVw26p6xQxr8so8WdIcqHZBFhe3A2VdN5nKBFgRBuDItXK8bZ/E
 gwUXyZbplTkUpUNylpXnz2sLlaTQgx4poSEFS/+dwLmAvGewwgKaHe+u3wGmag85
 BS6tMhlHKhGQitMXQLgfBcSPzg==
 -----END CERTIFICATE----- 


Dúvidas gerais:

IP fixo:

Algumas certificadoras ainda exigem IP fixo para instalação do SSL.

O SSL oferecido pela Hostnet por exemplo, não necessita de IP fixo.

Caso você contrate uma certificadora por fora e ela exija um IP fixo, você poderá contratar este IP por R$ 20,00 reais mensais.

A contratação é feita via Painel usando o menu: Site >> SSL.

Painel.ssl4.png


A chave CSR gerada via Painel é em 2048 bits?

Sim.


Qual o sistema operacional do servidor?

Linux com distribuição Ubuntu.


Qual o software utilizado para gerar a chave CSR?

Biblioteca OpenSSL .


Diretiva para X-Forwarded-Proto do Apache no uso de SSL

Alguns aplicativos usam a variável X-Forwarded-Proto do Apache para verificar se o site possui SSL habilitado. Para o funcionamento correto dessa variável, é necessário que seja colocada no arquivo .htaccess a seguinte linha:

 SetEnvIf X-Forwarded-Proto https HTTPS=on


Qual o servidor Apache configurado para utilização do SSL ?

Apache/ModSSL

Não usamos o Apache-ssl .


Site não seguro:

Ao usar SSL próprio, a URL do domínio é alterada para “https://” e o símbolo de uma cadeado verde é exibido logo ao lado, dando confirmação de segurança à página.

O desenvolvedor do site não pode colocar itens fora do ambiente SSL, pois com isso a segurança fica comprometida e o navegador exibirá uma mensagem de alerta, removendo o “cadeado verde” e notificando que há recursos não seguros na composição do site. Tanto o uso de arquivos fora do diretório do SSL quanto o uso de links que chame imagens de outros domínios podem causar este erro.


128 bits ou 256 bits?

A diferença entre 128 e 256 bits não refere-se a quantidade de bits do certificado adquirido. Essa diferença é uma escolha feita pelo navegador (browser) para permitir a comunicação criptografada com o servidor, e não diz respeito ao número de bits do certificado em si.

O certificado digital SSL é gerado com uma chave de 2048 bits. Essa informação pode ser conferida nos detalhes do certificado: clique no cadeado -> Conexão -> Informações do certificado -> Detalhes -> Campos do certificado -> Informações da chave pública do requerente -> Chave pública do requerente.

(passos obtidos no navegador Chrome)


A informação de 128 ou 256 bits é designada pelo navegador no momento em que acessa o site, e a conexão com um site HTTPS dá-se, em alto nível, da seguinte forma:

  1. O navegador conecta-se ao servidor e envia uma requisição HTTPS.
  2. O servidor responde enviando seu certificado ao cliente, contendo sua chave pública.
  3. O navegador verifica o certificado para saber se ele é válido e extrai a chave pública do mesmo.
  4. O navegador gera então uma chave aleatória para ser usada na conexão com o servidor. Essa chave aleatória é criptografada usando a chave pública recebida anteriormente, e o resultado é enviado para o servidor.
  5. O servidor recebe a chave criptografada e a descriptografa usando sua chave privada. Esse mecanismo é conhecido como "troca de chave" (key exchange).

A partir desse ponto, navegador e servidor possuem uma chave compartilhada que só os dois conhecem, e podem usá-la para criptografar o conteúdo do site.

A chave aleatória criada pelo navegador pode ser gerada de formas diferentes, dependendo das bibliotecas de criptografia instaladas no computador do usuário. As duas possibilidades mais comuns são:

  • Criptografia de 128 bits usando AES_128_GCM (com TLS 1.2)
  • Criptografia de 256 bits usando AES_256_CBC (com TLS 1.1)

Nas alternativas acima vemos duas siglas, GCM e CBC. Ambas referem-se a modos de operação criptográficos, que são algoritmos usados para criptografar a chave aleatória gerada pelo navegador. O modo de operação GCM é considerado mais seguro do que o CBC, mesmo usando menos bits, por isso passou a ser usado na versão mais recente do TLS (versão 1.2), enquanto o algoritmo menos seguro (embora com mais bits) era usado nas versões mais antigas.

Em resumo, a conexão com o seu site não estará menos segura e nem representará redução da criptografia do seu certificado quando o navegador exibir a informação de 128 bits.


Como funciona o SSL da CDN?

Os certificados da CDN usam criptografia de curvas elípticas de 256 bits, que correspondem a chaves RSA de 3072 bits.


Ao Contratar um SSL, preciso desativar a CDN?

Sim. O serviço de CDN não funciona com o SSL ativo no site. Ocorre incompatibilidade entre os serviços.


Tipos de certificados SSL:

Ao longo dos últimos anos, o número de organizações que utilizam certificados SSL aumentou dramaticamente. As aplicações para o qual SSL está sendo usado também aumentaram. Por exemplo:

  • Algumas organizações precisam de SSL simplesmente para confidencialidade, por exemplo, criptografia.
  • Algumas organizações desejam usar SSL para reforçar a confiança em sua segurança e identidade. Por exemplo: eles querem mostrar aos clientes que eles já foram verificados e é uma organização legítima.

Como os pedidos de SSL começaram a se tornar mais amplo, três tipos de certificados SSL surgiram:

1- Validação Extendida: onde a Autoridade de Certificação (CA) verifica o direito do candidato de usar um nome de domínio específico E AINDA que realiza um controlo completo da organização. O processo de emissão de certificados EV SSL é estritamente definido nas Diretrizes de EV, como formalmente ratificado pelo CA / Browser Fórum, em 2007, que especifica todos os passos necessários para uma CA antes de emitir um certificado, e inclui:

  • Verificar a existência legal, física e operacional da entidade.
  • Verificar se a identidade da entidade corresponde aos registros oficiais.
  • Verificar se a entidade tem direito exclusivo para usar o domínio especificado no certificado EV de SSL.
  • Verificar se a entidade possui a devida autorização para emissão de EV SSL.

Certificados EV SSL estão disponíveis para todos os tipos de negócios, incluindo entidades governamentais. E também corporações e empresas de todos os portes. Um segundo conjunto de orientações, as Diretrizes de Auditoria EV, especifica os critérios segundo os quais uma Autoridade Certificadora (CA) precisa ser auditada com sucesso antes de emitir certificados EV SSL. As auditorias são repetidas anualmente para garantir a integridade do processo de emissão.

2- Organização de validação (OV) Certificados SSL: onde a CA verifica o direito do candidato de usar um nome de domínio específico E AINDA realiza algum veto da organização. Informação adicional da empresa vetada é exibida para clientes ao clicar sobre o Selo Site Seguro, dando maior visibilidade em quem está por trás do site e o reforço da confiança associado.

3- Domínio de validação (DV) Certificados SSL: onde a CA verifica o direito do candidato de usar um nome de domínio específico. Nenhuma informação sobre a identidade da empresa é vetada e nenhuma informação é exibida além das informações de criptografia dentro do Selo Site Seguro.


Selo de Segurança

Selos de Segurança geralmente são imagens presentes em sites que permitem o reconhecimento de um Certificado Digital SSL/TLS válido, emitido por uma Autoridade Certificadora confiável. Quando o seu site apresenta um Selo de Segurança, ele ganha maior credibilidade, fazendo com que usuários que o utilizam sintam-se em um abiente seguro.

É importante alertar que a utilização de um Selo de segurança somente é recomendada em sites que apresentam Certificado Digital SSL.

Oferecemos selos de segurança da AlphaSSL, GlobalSign e ComodoSSL de forma gratuita. Poderá utilizar um deles seguindo os tutoriais dos links abaixo:


Veja também: