O SSL (Secure Sockets Layer) é um protocolo de segurança da Internet baseado em criptografia. A Netscape desenvolveu essa tecnologia em 1995 com o objetivo de garantir privacidade, autenticação e integridade de dados nas comunicações online.
- Leia também: IAs impulsionam ataques DDoS mais sofisticados e brasil lidera ameaças na américa latina
- Leia também: Ataques de drones atingem data centers da AWS no Oriente Médio e provocam instabilidade na nuvem
- Leia também: Como migrar do ChatGPT para o Claude e levar seus dados e preferências
Na prática, o SSL protege as informações transmitidas entre um usuário e um servidor. Ele é o antecessor do protocolo moderno TLS (Transport Layer Security), que atualmente substitui o SSL em praticamente toda a internet.
Quando um site utiliza SSL/TLS, o endereço exibido no navegador passa a mostrar “HTTPS” em vez de “HTTP”. Além disso, normalmente aparece um ícone de cadeado na barra de endereço, indicando que a conexão é segura.
Como funciona o SSL/TLS?
Para garantir um alto nível de privacidade, o SSL criptografa os dados transmitidos pela Internet. Dessa forma, mesmo que alguém tente interceptar essas informações durante a transmissão, verá apenas uma sequência de caracteres embaralhados, praticamente impossível de decifrar.
Além disso, antes de iniciar a comunicação segura, ocorre um processo chamado handshake. Durante essa etapa, os dois dispositivos envolvidos — normalmente o navegador do usuário e o servidor do site — verificam suas identidades para garantir que ambos são realmente quem dizem ser.
Depois da autenticação, o SSL/TLS estabelece uma conexão criptografada que protege os dados durante todo o processo de comunicação.
Outro recurso importante é a assinatura digital dos dados. Esse mecanismo garante a integridade das informações transmitidas. Em outras palavras, ele confirma que os dados não foram alterados ou adulterados durante o envio.
Com o tempo, diversas versões do SSL foram lançadas para melhorar a segurança. Em 1999, o protocolo evoluiu e deu origem ao TLS, que se tornou o padrão atual da internet.
Por que o SSL/TLS é importante?
Nos primeiros anos da internet, os dados eram transmitidos como texto simples, sem qualquer tipo de proteção. Isso significava que qualquer pessoa que interceptasse a comunicação poderia ler facilmente as informações enviadas.
Por exemplo, quando um usuário realiza uma compra online e digita o número do cartão de crédito, esses dados poderiam viajar pela internet sem criptografia, tornando-se vulneráveis a ataques.
O SSL foi criado justamente para resolver esse problema.
Ao criptografar todas as informações trocadas entre o navegador e o servidor, o protocolo garante que apenas o destinatário correto consiga acessar os dados. Assim, mesmo que alguém intercepte a transmissão, verá apenas dados ilegíveis.
Além disso, o SSL/TLS também ajuda a prevenir ataques cibernéticos, pois permite autenticar servidores web. Isso é essencial para impedir que invasores criem sites falsos com o objetivo de enganar usuários e roubar informações sensíveis.
Outra proteção importante é a alteração de dados em trânsito. O protocolo funciona como um selo de segurança, semelhante ao lacre de um frasco de medicamento: caso alguém tente modificar o conteúdo durante o envio, a alteração será detectada.
SSL e TLS são a mesma coisa?
O SSL é o antecessor direto do TLS (Transport Layer Security).
Em 1999, a IETF (Internet Engineering Task Force) decidiu atualizar o protocolo SSL para torná-lo mais seguro. Como essa nova versão passou a ser desenvolvida pela IETF — e não mais pela Netscape — o protocolo recebeu um novo nome: TLS.
Apesar da mudança de nome, as diferenças entre o SSL 3.0 e a primeira versão do TLS não foram extremamente radicais.
Por esse motivo, os dois termos ainda são usados de forma intercambiável. Muitas pessoas continuam utilizando o termo SSL para se referir ao TLS, enquanto outras utilizam a expressão “criptografia SSL/TLS”.
Isso acontece porque o termo SSL ficou muito popular e ainda é amplamente reconhecido.
O SSL ainda é utilizado hoje?
Não. O SSL deixou de ser atualizado após a versão 3.0, lançada em 1996.
Atualmente, o protocolo é considerado obsoleto e inseguro, pois apresenta diversas vulnerabilidades conhecidas. Por essa razão, especialistas em segurança recomendam não utilizar SSL em sistemas modernos.
De fato, a maioria dos navegadores atuais não oferece mais suporte ao SSL.
Hoje, o protocolo utilizado na internet é o TLS, que evoluiu significativamente ao longo dos anos e oferece níveis muito mais altos de segurança.
Mesmo assim, muitas empresas ainda usam o termo “SSL” em produtos e serviços, principalmente porque ele continua sendo mais conhecido pelo público.
Na prática, porém, quando um fornecedor oferece “certificado SSL”, geralmente ele está fornecendo certificados TLS, que são o padrão da indústria há mais de duas décadas.
O que é um certificado SSL?
Para que um site utilize criptografia SSL/TLS, ele precisa possuir um certificado SSL (tecnicamente chamado de certificado TLS).
Esse certificado funciona como uma espécie de documento de identidade digital que comprova que um site ou servidor é realmente quem afirma ser.
Os certificados ficam armazenados no servidor do site ou da aplicação e são apresentados automaticamente aos navegadores quando um usuário acessa o endereço.
Uma das informações mais importantes presentes em um certificado SSL é a chave pública do site.
Essa chave permite que o navegador do usuário crie uma conexão criptografada segura com o servidor.
O processo funciona da seguinte forma:
- O navegador recebe a chave pública do servidor.
- Essa chave é usada para criptografar os dados enviados.
- O servidor utiliza sua chave privada (que permanece secreta) para descriptografar essas informações.
Esse sistema garante que apenas o servidor correto consiga acessar os dados transmitidos.
Os certificados SSL são emitidos por organizações chamadas Autoridades Certificadoras (CA — Certificate Authorities).
Quais são os tipos de certificados SSL?
Existem vários tipos de certificados SSL/TLS disponíveis. Cada um atende a necessidades diferentes de segurança e de estrutura de sites.
Certificado de domínio único
Esse certificado protege apenas um único domínio.
Por exemplo:
www.exemplo.com
Ele não protege subdomínios ou outros sites.
Certificado curinga (Wildcard)
O certificado curinga também se aplica a um único domínio principal, porém inclui todos os seus subdomínios.
Por exemplo, um único certificado pode proteger:
- www.exemplo.com
- blog.exemplo.com
- loja.exemplo.com
Isso facilita a gestão de segurança para sites com várias seções.
Certificado multidomínio
Como o nome sugere, esse tipo de certificado pode proteger vários domínios diferentes ao mesmo tempo, mesmo que eles não estejam relacionados entre si.
Por exemplo:
- exemplo.com
- meusite.net
- empresa.org
Níveis de validação de certificados SSL
Além dos tipos de domínio, os certificados também possuem diferentes níveis de validação, que indicam o grau de verificação realizado pela autoridade certificadora.
Validação de domínio (DV)
É o nível mais simples e rápido de emissão.
Nesse caso, a autoridade certificadora apenas verifica se a empresa ou pessoa controla o domínio.
É comum em blogs, sites pessoais e projetos menores.
Validação da organização (OV)
Nesse nível, a autoridade certificadora realiza verificações adicionais sobre a empresa que solicita o certificado.
O processo envolve contato direto com a organização para confirmar sua existência.
Por isso, esses certificados transmitem mais confiança aos usuários.
Validação estendida (EV)
Esse é o nível mais rigoroso de verificação.
A autoridade certificadora realiza uma análise completa da empresa antes de emitir o certificado. Normalmente, esse tipo de certificado é utilizado por bancos, grandes empresas e serviços financeiros.
Como obter um certificado SSL?
Existem várias formas de obter um certificado SSL/TLS.
Atualmente, muitos provedores de infraestrutura e segurança oferecem certificados gratuitamente.
Por exemplo, a Cloudflare disponibiliza certificados SSL gratuitos para empresas e sites que utilizam sua plataforma.
Nesse caso, o proprietário do site pode ativar a criptografia com apenas alguns cliques no painel de controle.
Em algumas situações, também é necessário configurar um certificado no servidor de origem, dependendo da arquitetura do site ou aplicação.
