Melhor SSL para hospedagem de servidor web

A segurança do seu ambiente de hospedagem, site e interações com o cliente é mais importante agora do que nunca. Com ameaças e ataques constantes, você deseja garantir que seus visitantes confiem que você tem a segurança deles em mente e está ativo na proteção de suas informações. Fornecer uma conexão segura ao seu site com um certificado Secure Socket Layer (SSL) é um dos métodos mais fáceis de demonstrar aos visitantes que você leva a segurança a sério. No entanto, nem todos os certificados SSL são considerados iguais ou oferecem as mesmas garantias. Determinar o que é melhor para você e sua empresa é uma escolha importante e depende de suas necessidades específicas.

O que é um Certificado SSL?

Para decidir qual SSL é melhor para o seu negócio, primeiro você precisa entender o que é um certificado SSL. Um certificado SSL é um “certificado” digital (basicamente um arquivo) usado para fornecer criptografia e descriptografia entre um host (você) e um cliente (seu visitante). Este certificado certifica a propriedade e a autenticidade de um domínio. Em outras palavras: ele diz ao seu visitante (e mais importante: seu navegador) que o domínio que eles estão visitando é realmente o domínio que eles acreditam que estão indo e que pertence a quem eles acham que deveria pertencer. Este certificado também permite que o navegador deles se comunique com seu site de maneira segura. Ao olhar para a barra de URL/endereço no navegador e ver https, a parte “s” representa a conexão segura que o certificado SSL fornece.

Como funciona um SSL?

Antes de poder escolher qual SSL melhor se adapta às suas necessidades, você também deve entender o processo de como um SSL é usado. A ideia básica é criar uma “cadeia de confiança”; um caminho que começa em seu computador com seu navegador e termina com uma organização que fornece o certificado SSL conhecido como “Autoridade de certificação” ou “CA”. Ao visitar um site, seu navegador analisa o certificado SSL e começa a “seguir” as informações nele contidas, revisando cada etapa e certificando-se de que o componente esteja digitalmente “assinado” por uma organização ou CA em que seu navegador confie. Ao seguir este caminho, seu navegador pode garantir que as informações que recebe de um site são precisas, pois cada etapa verifica a última, terminando na CA que possui um acordo específico com seu navegador ^[1] .

Além disso, seu navegador usa o certificado SSL para estabelecer uma conexão segura com o servidor do site que você está visitando. Há uma série de mensagens para negociar ou confirmar que o site e seu navegador podem se comunicar com segurança e que o site que seu navegador está visitando é realmente o site em que você acredita estar.

[1] – Isso é parte do motivo pelo qual os SSLs podem ter uma cobrança associada a eles. A Autoridade de Certificação deve ser aprovada por todos os navegadores pelos quais deseja que os certificados SSL sejam reconhecidos. Isso faz parte do custo do trabalho e é um processo demorado e difícil. É também a razão pela qual os certificados SSL podem ser confiáveis: não é qualquer um que pode iniciar uma Autoridade de Certificação e emitir certificados SSL que serão confiáveis ​​pelos navegadores mais usados.

Tipos de certificados SSL

Para determinar qual SSL é melhor para a empresa ou site que você opera, você também deve entender os diferentes tipos de SSLs e a maneira como eles podem ser usados. Este artigo abordará brevemente quatro tipos de certificado SSL que você pode escolher:

Autoassinado

Este certificado SSL é aquele que você cria e essencialmente “assina”, declarando que você é quem você diz que é e seu site é o site que proclama ser. Isso é bom quando se trabalha com um site que apenas pessoas que você conhece / confia estarão acessando. Eles não precisam se preocupar com a autenticidade porque já sabem exatamente quem está operando e que é seguro. Eles não devem ser usados ​​para qualquer tipo de negócio online ou site onde visitantes aleatórios irão passar, pois certificados autoassinados apresentarão um erro/aviso na maioria dos navegadores sobre não serem confiáveis ​​(o que pode afugentar visitantes/clientes).

Domínio único

O certificado SSL de domínio único representará exatamente o que diz: um único nome de domínio totalmente qualificado. Isso não oferece suporte a nenhum tipo de subdomínio de um domínio, a menos que seja para isso que o SSL esteja configurado especificamente (portanto, um SSL para mail.example.com fornecerá segurança e autenticidade apenas para mail.example.com, não www.example.com ). Além disso, domínios alternativos de primeiro nível (TLDs), como .net, .org, etc., não são cobertos automaticamente, a menos que um certificado SSL seja adquirido/configurado explicitamente para esse TLD de nome de domínio.

Curinga

O SSL curinga fornece segurança e autenticidade para todos os subdomínios de um nome de domínio. O termo “curinga” representa todo e qualquer subdomínio possível que possa ser usado com seu nome de domínio principal. Isso é especialmente útil se você não tiver certeza de como pode utilizar subdomínios para sua empresa ou souber que tem um grande número de subdomínios que precisam de cobertura (o suficiente para que o custo aumentado de um subdomínio curinga seja mais barato do que comprar SSLs de domínio único individuais para cobrir todos os seus subdomínios).

Vários domínios

O SSL de vários domínios, em vez de se concentrar na cobertura de vários subdomínios, oferece cobertura para vários nomes de host. Esses nomes alternativos de assunto (SAN) são listados no certificado SSL e seu navegador verifica cada um individualmente ao visitar um site. Após receber o certificado SSL e revisar as SANs, seu navegador identificará se o domínio corresponde a uma das SANs e, em caso afirmativo, criará a conexão segura. Este tipo de SSL é extremamente útil se houver vários domínios que você controla que deseja proteger ou que todos se relacionam com o seu negócio, pois você só tem um único certificado para gerenciar e manter atualizado/configurado em seus servidores.

Níveis de validação

Além de tipos específicos de certificados SSL oferecidos, as várias Autoridades de Certificação podem fornecer diferentes níveis de “validação” para provar que o proprietário do SSL é quem eles dizem ser. Os vários tipos de validação se apresentam de forma diferente ao seu navegador e fornecem aos visitantes de sites que utilizam o SSL uma confirmação visual da conexão SSL. Além disso: o grau de validação que foi necessário para provar que o solicitante/proprietário do SSL é quem ele diz ser é aumentado com os vários níveis oferecidos, dependendo das necessidades do seu negócio. Um rápido detalhamento desses níveis de validação é o seguinte:

Validação de domínio (DV)

Este é o nível de validação mais comum e mais fácil de passar. O único qualificador é que você prove que o domínio para o qual está solicitando um SSL está sob seu controle. Isso pode estar respondendo a um e-mail enviado para um endereço nesse domínio para modificar um registro DNS para o domínio para que um sistema automatizado possa revisá-lo. Esse método de validação geralmente leva de alguns minutos a algumas horas no máximo. Os navegadores exibirão um ícone de cadeado na barra de endereço, indicando que uma conexão segura e criptografada com o site fornecida por SSL está sendo feita.

Validado Organizacional (OV)

Esta é uma validação mais profunda e detalhada. O proprietário ou empresa é realmente contatado e a documentação deve ser apresentada comprovando que sua empresa é uma empresa legítima. O nome da pessoa ou organização está associado ao SSL se revisado; no entanto, os navegadores exibirão o mesmo indicador visual de um SSL validado por domínio. Isso geralmente pode ser concluído em alguns dias.

Validação Estendida (EV)

Este é o nível de validação mais complicado e leva mais de uma semana ou mais. Os registros públicos são utilizados para provar a localização de sua empresa, que sua empresa existe/é legítima e normalmente exige comunicação pessoal/por telefone para fornecer verificação e informações adicionais. Este é um processo de verificação extremo que requer muita comunicação de ida e volta e segue diretrizes rígidas; no entanto, resulta em um indicador visual de barra verde nos navegadores; o único SSL a oferecê-lo e é considerado o mais confiável dos SSLs.

Por que os SSLs são importantes?

Este artigo abordou brevemente por que um certificado SSL é importante, mas é fundamental expandir esse ponto, pois a segurança é uma necessidade cada vez maior para as empresas levarem a sério. Os clientes esperam que seus dados estejam protegidos e que possam confiar nos sites que visitam. Perder essa confiança significa perder negócios e reputação.

Existem três razões principais para SSLs: privacidade, autenticação e integridade de dados. A primeira, privacidade, é extremamente importante, pois o certificado SSL e a conexão criptografada que ele ajuda a criar protegem as informações que seus clientes fornecem a você de serem interceptadas e visualizadas em “texto simples”. Isso evita que as informações do seu cliente, como números de cartão de crédito, nomes de usuário ou outros dados pessoais, sejam interceptados por invasores mal-intencionados.

Isso leva ao segundo ponto: autenticação. Os SSLs ajudam a garantir que apenas a origem e o destino saibam quais são esses dados e possam usá-los, mas também para provar à origem que eles estão se comunicando com quem eles esperam se comunicar. O certificado SSL é uma maneira rápida e fácil de provar que um domínio é legítimo, que uma empresa foi avaliada e que o site que um visitante está visualizando é o que eles esperam ver. Os sites de phishing são extremamente comuns, mas devido aos certificados SSL e ao processo de verificação, é altamente improvável

Por último, a integridade dos dados. Em termos simples, isso significa que a informação que um visitante lhe envia é a informação que você recebe (e vice-versa). Isso é tão importante quanto os outros dois aspectos, pois queremos garantir que, se fizermos uma transação financeira ou solicitação de compra, essa solicitação seja interpretada corretamente. O certificado SSL e a criptografia / integridade de dados que ele fornece permitem que as empresas forneçam a seus visitantes um nível de certeza de que o que eles pedem ou enviam é o que você recebe.

Todos os pontos acima são extremamente importantes para qualquer entidade na internet hoje. Os setores bancário, médico, de transporte e de compras dependem da proteção da comunicação de dados. Organizações regulatórias e de conformidade, como PCI ou HIPAA, têm requisitos rigorosos para serem aprovadas e um certificado SSL quase sempre está no topo da lista.

O que faz um bom/melhor/melhor SSL?

Existem alguns fatores que são diferentes entre os vários tipos de SSLs e como eles são adquiridos. O primeiro que você precisa estar ciente é o comprimento da chave. A maneira mais fácil de lembrar o tamanho da chave e o que você deve obter é que maiores (chaves mais longas) são melhores e fornecem segurança mais forte. É uma prática comum agora solicitar um SSL com 2048 bits para o comprimento da chave. Você não deve mais solicitar SSLs com comprimentos de chave de 1024 bits, pois eles provaram ser ineficazes e podem ser facilmente quebrados por invasores maliciosos para bisbilhotar dados entre seu site e os visitantes.

Acima falei sobre as autoridades de certificação e como nem todas são aceitas por todos os navegadores. Este é um componente importante a ser considerado ao adquirir um certificado SSL, pois você precisa conhecer seu público e se eles podem estar usando navegadores obscuros ou apenas as variantes populares. Quanto maior a base de um navegador, mais exigente será, pois precisa garantir que ele forneça a máxima segurança para os usuários que deve considerar. As autoridades de certificação mais bem estabelecidas também trabalham para proteger sua reputação e querem ser conhecidas por levar seu processo de verificação a sério, de modo a serem consideradas como auxiliares de indivíduos que podem ter intenções maliciosas por trás de suas solicitações de SSL.

Por fim, o motivo pelo qual você deseja um SSL. Hoje vemos um impulso de todas as grandes empresas de tecnologia para “proteger a web” e utilizar SSL em todos os setores. Todo site deve tentar e se esforçar para fornecer a maior segurança possível (ou prática) aos seus visitantes. Os certificados SSL, embora necessários para as empresas, são relevantes até mesmo para sites simplesmente informativos e relacionados a notícias, como blogs. Ter um SSL para um blog pode fornecer essa segurança e confirmação aos visitantes de que eles estão no blog que esperam e não uma tentativa de falsificação ou phishing ou mesmo alguém tentando passar informações falsas (como um blog de segurança dizendo às pessoas para usar senhas simples).

Qual SSL é melhor para hospedagem de servidores Web?

Com a nossa compreensão dos certificados SSL e como eles são usados, agora podemos examinar o que é melhor para o servidor web comum e a indústria de hospedagem. Embora a segurança seja extremamente importante para qualquer tipo de presença online, raramente vemos a necessidade da verificação extrema que os certificados EV SSL exigem. Os setores médico, financeiro e de transporte tendem a ter visitantes cautelosos e inicialmente cautelosos simplesmente porque esses negócios são frequentemente imitados e direcionados para ataques maliciosos. Além disso, eles têm requisitos rigorosos para diretrizes de segurança que são obrigados a seguir por lei. Os EV SSLs são ideais para eles, mas não para o servidor Web típico de um negócio online.

O SSL validado por organização ou domínio é a escolha ideal de validação para a esmagadora maioria das empresas online, pois são mais rápidos de adquirir e fornecem o mesmo nível de proteção e confirmação visual. A menos que você ache que certos aspectos do seu negócio sejam identificados pelo SSL, um SSL DV com validação de controle de domínio simples é o SSL que melhor se adapta à maioria das pessoas, empresas e sites online.

Em termos de qual tipo de SSL obter, frequentemente recomendo que as pessoas planejem para o futuro. O SSL curinga permite fornecer proteção SSL simples para o seu domínio, ao mesmo tempo em que oferece a liberdade de expansão com qualquer subdomínio que esteja dentro do escopo do seu plano de negócios ou das necessidades do seu site. Talvez você não precise fornecer proteção SSL para seus subdomínios, mas ter a opção é sempre melhor. Além disso: ao ter um único certificado SSL para acompanhar você não precisa mais se preocupar com vários certificados expirando em dias diferentes, reduzindo a complexidade operacional. Um único certificado simplifica a replicação em vários servidores da Web e facilita as tarefas de administração, reduzindo seus custos e riscos.

Conclusão

No geral, só você saberá quais são as necessidades que seu site online tem e a melhor forma de atendê-las. Usar um certificado SSL para proteger seu site e visitantes é uma das maneiras mais fáceis de transmitir que você leva a sério sua presença online e a segurança de seus visitantes como prioridade. Pensar no crescimento do seu negócio e para onde você vê seu site pode ajudar a evitar problemas técnicos para seus servidores da Web e como você os protege no futuro.