Não é novidade para ninguém como um site precisa estar bem posicionado nos motores de busca, ter responsividade com dispositivos mobile, uma navegabilidade bacana, e coisas assim. Mas você sabe como um SSL pode fazer toda a diferença?
A maioria nem sabe o que essa sigla significa, infelizmente. Trata-se do Secure Socket Layer, algo como uma “Camada de Soquete Seguro”, que pode parecer sem importância num primeiro momento, mas é fundamental para a segurança dos usuários.
Para se ter uma noção da importância desse recurso, ele foi criado em 1994, pela Netscape, uma das primeiras empresas de informática a se voltar para a internet no mundo. Ou seja, está presente desde os primórdios da esfera digital.
O que ele fez foi criar um padrão global de segurança digital, por meio de uma criptografia que reforça a ponte entre o servidor, a plataforma de acesso e os usuários daquele site, que fazem o acesso por meio de um navegador (em inglês, o browser).
Embora algumas empresas e sites continuem ignorando o SSL, hoje já são muitos os usuários que se preocupam com isso, mesmo que não conheçam esse termo. Basta verificar se o site tem o famoso cadeado dourado (ou verde) na barra de endereços.
Além disso, muitos navegadores já estão programados para acusar um erro de segurança e sigilo quando a página não tem essa função. Deste modo, mesmo que a pessoa ignore do que se trata, vai aparecer uma mensagem enorme de sinalização de segurança.
Por isso, decidimos escrever este artigo, trazendo alguns conceitos fundamentais sobre o assunto, bem como dicas de por que motivo uma empresa que ainda não tem SSL precisa se preocupar urgentemente com isso.
Lembrando que não são apenas as lojas virtuais e e-commerces em geral que precisam desse recurso. É claro que ao informar CPF ou CNPJ e dados de cartão de crédito, a segurança precisa ser reforçada, mas há muitos outros casos similares.
Por exemplo, quando uma pessoa informa seu próprio nome, seu telefone, e-mail, ou quando ela precisa de login e senha para acessar alguma seção da página, isso já está gerando um tráfego de informações pessoais e sigilosas.
Basta pensar num curso técnico à distância, tendência que tem crescido cada vez mais, para perceber que podem existir muitas informações, dados e até arquivos que a pessoa vai precisar compartilhar, mesmo sem fazer nenhuma transação financeira.
Inclusive, por lei, a obrigação de manter a segurança de dados pessoais que um site solicita, é da própria empresa solicitante. Ou seja, você é responsável pela segurança do ambiente que o seu cliente ou usuário está acessando, mesmo no espaço digital.
Então, se você quer ficar por dentro desse assunto e mudar seu site de patamar, conseguindo muito mais segurança na esfera digital, basta seguir adiante na leitura.
Por dentro do aspecto técnico
Dito de modo simples, o maior esforço do protocolo SSL nada mais é do que certificar a idoneidade das pessoas que estão por trás de um site. Afinal, qualquer um pode subir uma página na web, sem declarar sua real intenção.
Sendo assim, como manter esse universo seguro? O primeiro passo da certificação consiste, justamente, em informar alguns dados básicos sobre o site (a URL, para começar; depois, data de fundação, proposta central, etc.).
Então, é a hora de passar as informações sobre a empresa ou organização por trás da iniciativa.
Caso se trate de uma indústria de rótulos, qual é a Razão Social do negócio, o endereço físico (caso haja um), os documentos legais e fiscais, e daí em diante? Com isso, o servidor web envolvido vai criar duas chaves criptográficas, que é onde está o segredo.
Hoje já são bem conhecidas essas chaves, que consistem na Private Key, a Chave Privada, e na Public Key, que é a Chave Pública. A primeira delas tem um nome que já fala por si: ela precisa ser guardada de maneira sigilosa pela própria empresa, dona do site.
É ela quem garante que seu site não vai ser invadido ou hackeado por outras pessoas. Afinal, mesmo que você não tenha más intenções, nada impede que alguém use o seu site para roubar e vazar informações dos seus clientes, concorda?
Já a outra chave não precisa ser sigilosa ou secreta, pelo contrário. Um site de cenografia para eventos, por exemplo, precisa informar sua Public Key num arquivo estrutural, o CSR, Certificate Signing Request (Solicitação de Assinatura de Certificado).
É justamente o informe deste anexo que vai comunicar que o site foi protocolado e reconhecido como sendo íntegro. Isso é o que gera a certificação e faz com que o cadeado dourado (ou verde) apareça para os usuários, tranquilizando-os.
Quais os tipos existentes de SSL?
Ainda veremos que existem outros tipos de protocolos e certificados. De qualquer modo, o próprio SSL também tem subdivisões, que surgiram com o tempo para permitir uma maior abrangência e assertividade do recurso.
Hoje as duas principais subdivisões são a do SSL Simple (versão simples), e a do SSL EV. O primeiro é, naturalmente, o mais utilizado, justamente por poder atender um perfil enorme de sites, empresas, marcas e organizações em geral.
Já o segundo tipo é mais indicado para projetos maiores, tais como:
- Grandes e-commerces;
- Plataformas financeiras;
- Portais educacionais integrados;
- Plataformas internacionais;
- Portais governamentais;
- Entre outros semelhantes.
Esse formato de protocolo é capaz de, já na barra de endereços (URL), abrir uma caixa de tipo spam com informações sobre a empresa/organização, como a Razão Social do negócio.
Deste modo, se uma empresa de TI que lida com software de gestão empresarial chega a um patamar muito grande, a ponto de seu e-commerce fazer transações internacionais, certamente ela vai tirar muito mais proveito do SSL EV.
Sobre a exigência legal do protocolo
Uma das principais razões para utilizar os protocolos de certificação SSL é a questão legal, que hoje a maioria dos países já absorveu. No Brasil mesmo a lei exige que alguns sites tenham ele, sob o risco de penalizações para a página.
Trata-se dos sites que fazem qualquer solicitação de informação ou dados. Realmente, um blog pode não fazer esse tipo de solicitação, caso se limite a uma página com um simples artigo. Assim, não se enquadraria na lei, embora também ele possa solicitar seu SSL.
No fundo, é aconselhável para todos. Se você está lendo sobre hot stamping, que é um método gráfico de impressão, vai se sentir muito mais seguro em um blog que oferece o certificado, do que em outro que não tem esse recurso, não é mesmo?
Aprofundando esse ponto, uma pesquisa recente do Ibope/Conecta, que é uma empresa de pesquisas digitais, identificou que mais de 55% dos compradores já sabem identificar se o site é seguro e conta com o cadeado, mesmo que nenhuma mensagem apareça.
Outras vantagens e benefícios
Ainda é possível traçar outros benefícios e vantagens para a adesão desse mecanismo de segurança digital. Por exemplo, a vantagem que se ganha em termos de competitividade.
De fato, seja para anunciar algo como banner promocional e serviços gráficos, seja para vender alimentação e entregar via motoboy, a internet se torna cada vez mais saturada, cheia de gente fazendo a mesma coisa de modo repetitivo.
Então, cada diferencial já conta. Outra vantagem é que o SSL se tornou algoritmo SEO (Search Engine Optimization, ou Otimização para Motores de Busca). Neste caso, só de ter o certificado você já terá seu site melhor ranqueado em relação a quem não tenha.
Lembrando que esse tipo de posicionamento orgânico não gera nenhum custo para o site, pois não se trata de link patrocinado ou impulsionamento pago, mas natural.
SSL/TLS e HTTPS: quais as diferenças?
Outra dúvida muito comum nessa área é sobre a diferença entre SSL e TLS (Transport Layer Security), que é a Segurança da Camada de Transporte.
Se o SSL, que aliás é o mais antigo dos dois, ficou conhecido por fazer a defesa de dados e informações trocadas dentro de um site, o TLS se tornou famoso por fazer a defesa na troca de acesso, como no disparo de um e-mail (SMTP).
Hoje ambos fazem o mesmo tipo de cobertura, e não há grandes diferenças técnicas entre os dois. A não ser a de que o TSL pode alcançar portas diferentes, como no caso do e-mail; ou mesmo utilizar portas criptográficas mais fortes.
Na prática, um site que dê dicas sobre mapeamento de competências pode trabalhar com qualquer um dos dois, ficando muita restrita a preferência de um pelo outro. Já o HTTPS é uma extensão do próprio “http://” que vemos em todo site.
A diferença é que ele cria uma extensão mais segura, justamente nos sites que configuram certificados de tipo SSL/TLS.
Sendo assim, as razões pelas quais um site deve buscar sua própria certificação são o suficiente para que toda organização busque cumpri-las, priorizando esse recurso em sua plataforma.
Esse texto foi originalmente desenvolvido pela equipe do blog Guia de Investimento, onde você pode encontrar centenas de conteúdos informativos sobre diversos segmentos.