Um certificado digital comprova a autenticidade de uma chave pública usada para criptografar um ativo online.
Um certificado digital é definido como um documento digital que comprova a autenticidade de uma chave pública usada para criptografar um ativo online, ou seja, comunicações por e-mail, um documento, um site da Web ou um aplicativo de software. Este artigo explica como funcionam os certificados digitais, os diferentes tipos que você pode usar e os benefícios e desafios do uso de certificados digitais.
O que é um Certificado Digital?
Um certificado digital é um documento digital que comprova a autenticidade de uma chave pública usada para criptografar um ativo online, ou seja, comunicações por e-mail, um documento, um site da Web ou um aplicativo de software.
Os certificados digitais, também chamados de certificados de identidade e certificados de chave pública, são um tipo de senha eletrônica que utiliza a infraestrutura de chave pública (PKI) e permite que pessoas e empresas compartilhem dados pela Internet com segurança.
Um certificado digital verifica a identidade de um site, computador ou indivíduo usando criptografia e uma chave pública, garantindo que apenas dispositivos autorizados possam se conectar à rede de uma organização. Pode-se também usá-los para verificar a validade de um site para um navegador de internet. Um site, organização ou pessoa pode buscar um certificado digital, que deve ser verificado por uma autoridade de certificação (CA) publicamente confiável.
Conversas, dados e sites da Internet podem ser protegidos por meio de certificados digitais. Os certificados digitais têm certas falhas possíveis de serem exploradas; no entanto, sites protegidos por tais certificações de chave pública são considerados mais confiáveis do que aqueles que não são.
Um certificado digital contém as seguintes informações identificáveis:
O nome do usuário;
O departamento ou empresa a que o usuário pertence;
O endereço de protocolo de internet (IP) ou número de série associado ao dispositivo;
Uma cópia da chave pública obtida de um detentor de certificado;
O período durante o qual o certificado será válido;
O domínio que o certificado está autorizado a representar.
Certificado digital x assinatura digital
Os certificados digitais verificam a autenticidade de um usuário ou dispositivo e permitem comunicações criptografadas. Uma assinatura digital é uma técnica de hashing que emprega uma sequência de números para estabelecer a autenticidade e verificar a identificação. Normalmente, documentos ou e-mails são anexados com uma assinatura digital usando apenas uma chave criptográfica. As assinaturas são hash e o receptor usa o mesmo algoritmo de hash para decodificar a mensagem após recebê-la.
Como funcionam os certificados digitais?
Eles começam com uma autoridade de certificação raiz, uma organização confiável que emite certificados que atestam a identidade do remetente. Qualquer pessoa pode examinar a assinatura por meio da chave pública da autoridade de certificação.
De onde vem essa chave pública? As chaves públicas de autoridades confiáveis são integradas a navegadores e outros aplicativos de software da Internet; portanto, eles devem estar presentes em todos os computadores atuais.
O certificado contém informações sobre a infraestrutura de chave pública (PKI), incluindo um par de chaves públicas e privadas. Quando implementado no servidor da web, ele pode fornecer sua chave pública e uma lista de cifras simétricas que seu site suporta aos visitantes de seus navegadores. O navegador pode usar essa chave pública para transmitir uma mensagem criptografada composta por uma chave simétrica que criptografará a comunicação entre você e o navegador do visitante durante a sessão.
Você também pode incluir a chave pública em certificados para autenticar o software que sua organização distribui para que qualquer pessoa que faça o download da Web possa verificar se ele não foi alterado ou contaminado por malware. Uma vez que um organismo de certificação assina certificados, qualquer pessoa pode verificar sua autenticidade.
Os certificados têm uma vida útil fixa, geralmente um ou dois anos, após o qual se tornam inválidos. Alguns afirmam que eles expiram para que os proprietários precisem comprar certificados adicionais, mas há uma explicação diferente. Quando um certificado é revogado, suas informações são carregadas em uma lista de certificados revogados (CRL), que o software cliente examina antes de aceitá-la. As datas de vencimento das certificações evitam que as CRLs se tornem muito longas; quando um certificado revogado expira, não é mais necessário incluí-lo em uma CRL.
Solicitações de certificados digitais
As autoridades públicas de certificação devem cumprir um conjunto de padrões mínimos. A maioria dos navegadores da Web é configurada para confiar em uma lista pré-selecionada de CAs, definida pelo navegador ou pelo sistema operacional do dispositivo. A validação de um certificado digital normalmente ocorre de forma rápida e nos bastidores, sem o conhecimento do usuário.
Os sites empregam certificados digitais para estabelecer uma conexão HTTPS, com sua autenticidade verificada por uma autoridade de certificação (CA) confiável. Isso pode ajudar um usuário a verificar se o site que está vendo é legítimo e não fraudulento.
Os certificados digitais também são usados no comércio eletrônico para proteger dados confidenciais, identificáveis e financeiros. Os certificados digitais são usados no varejo online, comércio, bancos e jogos. Os usuários e varejistas de cartões de crédito eletrônicos podem utilizar certificados digitais para proteger transações financeiras.
A comunicação por e-mail é outro uso típico para certificados digitais. Frequentemente, os e-mails também podem incluir uma assinatura digital que fornece comunicações criptografadas usando algoritmos de hash.
Tipos de Certificados Digitais
Os diferentes tipos de certificados digitais utilizados por motivos de segurança são:
1. Certificados de assinatura de código
Esse tipo de certificado digital é empregado para assinar software ou dados baixados. Eles são assinados pelo desenvolvedor/editor do software. Eles visam garantir que o programa ou arquivo seja autêntico e originado da reivindicação do editor. Eles são particularmente úteis para editores que distribuem seus produtos por meio de sites de terceiros. As certificações de assinatura de código também provam que o arquivo baixado não foi alterado.
2. Certificados de cliente
IDs digitais, ou certificados de cliente, são usados para identificar uma pessoa para outro usuário, uma pessoa para um dispositivo ou um sistema para outro sistema de computador. Os e-mails são uma instância frequente onde o remetente assina eletronicamente a mensagem e o destinatário confirma a assinatura. A autenticação do remetente e do destinatário é fornecida por meio de certificados de cliente. Os certificados de cliente podem servir como autenticação de dois fatores quando um usuário deseja acessar um banco de dados restrito ou acessar o gateway do portal de pagamento, onde será solicitado a inserir suas credenciais e passar por uma verificação adicional.
3. Certificados Transport Layer Security/Secure Socket Layer (TLS/SSL)
No servidor, os certificados TLS/SSL são instalados. Tais certificados visam garantir que todas as comunicações cliente-servidor sejam sigilosas e criptografadas. O servidor pode ser um servidor da Web, servidor de aplicativos, servidor de correio, servidor LDAP ou outro tipo de servidor que precise de autenticação para entregar ou receber dados criptografados. O endereço de um site protegido por uma certificação TLS/SSL começará com “https://” em vez de “http://”, onde “s” significa “seguro”.
Os certificados SSL podem ser subdivididos nas seguintes categorias:
- SSL de domínio único: SSL de domínio único simplesmente fornece criptografia robusta para um único domínio ou subdomínio. É oferecido a um preço razoável, adequado para blogueiros, comunidades e sites de domínio único. Este certificado é válido para variantes www e não www.
- SSL Multi-domínio: Este certificado SSL pode ser colocado em vários servidores, portanto, pode criptografar vários domínios e subdomínios por um baixo custo. O certificado consegue proteger aproximadamente 250 domínios (conforme o provedor).
- SSL curinga: os certificados SSL curinga protegem os subdomínios de primeiro nível do domínio principal. Todos os subdomínios usarão o mesmo grau de criptografia (SHA-2).
- SSL curinga de vários domínios: certificados curinga de vários domínios são o método ideal para proteger muitas camadas de domínios ou subdomínios curinga que exigem criptografia avançada.
4. Certificados de autoridade de certificação (CA)
Um certificado de Autoridade de Certificação é uma credencial eletrônica que verifica a autenticidade da Autoridade de Certificação (CA) que a emitiu. O certificado da Autoridade Certificadora inclui informações de identificação e sua chave pública. Outros podem utilizar a chave pública do certificado da CA para verificar a validade dos certificados emitidos e assinados pela CA. Um certificado de Autoridade de Certificação pode ser emitido por outra CA, como a VeriSign, ou pode ser assinado pela própria Autoridade de Certificação, se for uma empresa independente.
5. Certificados de usuário
Um certificado de usuário é uma credencial virtual que verifica a identidade do usuário ou do cliente. Vários programas agora oferecem a capacidade de identificar usuários para recursos usando certificados em vez de senhas e nomes de usuário. Os Gerenciadores de Certificados Digitais (DCMs) associam automaticamente certificados de usuário emitidos por sua autoridade de certificação privada.
6. Certificados de assinatura de objetos
Um certificado de assinatura de objeto é usado para “assinar” um item digitalmente. Assinar o item fornece um meio de validar a integridade e proveniência ou propriedade do objeto. Você pode utilizar o certificado para verificar muitos itens, incluindo a maioria do Sistema de Arquivos Integrado e objetos CMD. Quando você usa a chave privada de um certificado de assinatura de objeto para assinar um objeto, o destinatário deve ter uma cópia do certificado de verificação de assinatura correspondente para validar a assinatura do objeto.
7. Certificados de verificação de assinatura
Os certificados de verificação de assinatura são cópias de certificados de assinatura de objeto que não possuem a chave privada. A chave pública de um certificado de verificação de assinatura é usada para validar a assinatura digital gerada por um certificado de assinatura de objeto. A verificação da assinatura permite estabelecer a proveniência do objeto e se ele foi ou não modificado após assinado.
8. Certificados de classe 1/2/3
Os certificados digitais também podem ser categorizados de acordo com quem os adquire. Estes são os três tipos diferentes de certificados:
- Classe 1: São enviados para assinantes privados/individuais. Esses certificados validarão que o nome do usuário (ou aliás) e o endereço de e-mail constituem um tópico claro no banco de dados das Autoridades Certificadoras.
- Classe 2: Esses certificados serão concedidos para uso comercial e pessoal. Essas certificações verificarão se os dados no aplicativo do assinante não contradizem as informações em bancos de dados de consumidores conhecidos.
- Classe 3: Este certificado será emitido para pessoas físicas e jurídicas. Por se tratarem de certificados de alta garantia explicitamente criados para operações de e-commerce, serão somente concedidos àqueles que comparecerem fisicamente perante as Autoridades Certificadoras.
9. Certificado de chave pública
Um certificado de chave pública pode ser considerado a versão online de um passaporte. É emitido por uma entidade idônea e oferece identificação para o titular. Uma instituição confiável que fornece certificados de chave pública é chamada de Autoridade Certificadora (CA). O CA pode ser equiparado a um profissional licenciado.
Benefícios e Desafios dos Certificados Digitais
Os benefícios mais significativos da autenticação baseada em certificado digital estão relacionados à privacidade. Ao criptografar suas comunicações, como e-mails, logins e transações bancárias online, os certificados digitais protegem suas informações privadas e evitam que caiam em mãos erradas. Os sistemas de certificados digitais também são fáceis de usar, muitas vezes funcionando automaticamente e exigindo o mínimo de atividade dos remetentes ou destinatários.
Os principais benefícios dos certificados digitais são:
1. Protege a comunicação online
Pela Internet, milhares de e-mails são transferidos diariamente. Anexar um certificado digital a uma mensagem de e-mail por questões de segurança e validar a identidade do remetente é uma prática comum para a transmissão de informações confidenciais entre várias partes.
2. Escala facilmente em empresas de vários tamanhos
Os certificados digitais podem continuar oferecendo o mesmo nível de criptografia para pequenas e grandes empresas. Usando sistemas como software de infraestrutura de chave pública gerenciada (PKI), você pode centralizar a manutenção de seus certificados com relativa facilidade. Os certificados digitais são tão escaláveis que podem até ser usados para proteger dispositivos BYOD. Você pode emitir, cancelar e renovar rapidamente os certificados de sua instituição.
3. Fortalece a confiança do usuário/cliente
Ao criptografar seu navegador e assinar eletronicamente seus papéis e e-mails, você cria uma imagem favorável para seus clientes. Investir em segurança cibernética demonstra aos seus clientes que você coloca a segurança e a privacidade deles acima de tudo.
4. Facilita a carga de hardware
Ao contrário de outras opções, como credenciais únicas e biometria, não é necessário hardware adicional. O certificado é salvo localmente no computador do usuário, eliminando a possibilidade de perda ou esquecimento do token. Os certificados podem ser transferidos para outros dispositivos para acomodar usuários com vários dispositivos.
5. Acrescenta credibilidade e poder juridicamente vinculativo
Em uma época em que atores mal-intencionados podem falsificar e-mails e sites, os certificados digitais garantem que sua mensagem chegue aos destinatários pretendidos. Os certificados SSL criptografam sites, S/MIME criptografa e assina e-mails, enquanto os Certificados de Assinatura de Documentos assinam documentos digitalmente. A combinação de certificados digitais torna seus papéis legalmente executáveis.
6. Simplifica o gerenciamento de acesso
A maioria dos sistemas de autenticação baseados em certificados inclui um portal de administração baseado em nuvem que permite aos administradores emitir certificados facilmente para novos funcionários, atualizar certificados ou revogar certificados quando um membro da equipe sai da organização. Permitir o registro automático e soluções de instalação silenciosa que interagem com o Active Directory pode simplificar ainda mais o processo de registro e emissão ao permitir o registro automático ou a instalação silenciosa.
7. Protege transações de comércio eletrônico
Milhões de americanos compram online; portanto, sites, portais e sites de e-varejistas devem ser seguros e confiáveis. O sinal de selo seguro de uma autoridade de certificação ou um certificado Secure Sockets Layer (SSL) permite a criptografia de material confidencial em sites de comércio eletrônico. Ele tranquiliza os consumidores quanto à segurança e confiabilidade das compras on-line, divulgações de cartão de crédito e transações comerciais.
8. Garante a privacidade enquanto otimiza os custos
Quando as empresas protegem as comunicações, os certificados digitais protegem as informações críticas e impedem que terceiros não autorizados as vejam. Essa tecnologia protege empresas e pessoas com abundância de dados confidenciais. Os certificados digitais também custam menos do que as técnicas tradicionais de criptografia e autenticação. A maioria dos certificados digitais cobra menos de US$ 100 por ano.
Desafios em torno dos certificados digitais
Existem dois tipos de perigos geralmente associados a certificados se eles não forem mantidos adequadamente: interrupção e violação. À medida que cresce a quantidade de dispositivos e indivíduos conectados numa empresa, surgem dificuldades padrão de PKI. Consequentemente, torna-se difícil emitir, implantar e revogar certificados para todos os dispositivos e aplicativos e impedir que usuários não autorizados solicitem certificados. Sem uma administração eficaz, os certificados digitais podem levar aos seguintes problemas:
- Desempenho lento de aplicativos e sites: verificar certificados digitais e criptografar e decodificar requer tempo. O período de espera pode ser agravante.
- Riscos de segurança por meio de hacking de certificado direcionado: Como em qualquer outra medida de segurança de dados, é possível comprometer os certificados digitais. É provável que ocorra um hack generalizado se a CA digital de origem estiver comprometida. Isso permite que agentes mal-intencionados acessem a biblioteca de certificados digitais da autoridade.
- Desafios na integração com o cenário digital mais amplo: Os certificados digitais não são tecnologias autônomas. Eles devem ser corretamente acoplados a processos, conhecimento, aplicativos, protocolos e hardware para serem bem-sucedidos. Este é um trabalho difícil.
- Vulnerabilidade a ataques man-in-the-middle: descobriu-se que os ataques MITM (man-in-the-middle) interceptam a comunicação SSL/TLS para obter acesso a dados confidenciais, produzindo certificados CA raiz falsos ou implementando um certificado malicioso que pode burlar os mecanismos de segurança. Em geral, no entanto, o uso de certificados digitais para proteger sites é visto como mais seguro do que sua ausência. As organizações precisam de uma estratégia rigorosa de gerenciamento do ciclo de vida do certificado para garantir operações contínuas e segurança de dados. Eles precisam de uma plataforma padronizada para identificar, automatizar e gerenciar o crescente número de certificados no ambiente, independentemente da CA geradora ou fonte do certificado.
Conclusão
Em um mundo hiperconectado, você não pode deixar de encontrar ou usar certificados digitais. Organizações como a Let’s Encrypt oferecem certificados digitais gratuitamente para criar uma experiência online mais segura para todos. Em 2022, a Let’s Encrypt lançou seu terceiro bilionésimo certificado digital, indicando a popularidade e a importância dessa tecnologia de segurança.