O que é um certificado de segurança de sites e por que você deve se preocupar?

Propaganda

Já viu o erro "Há um problema com o certificado de segurança deste site" e se perguntou o que isso significava? Vou explicar o que é um certificado de segurança e como ele funciona - para que você possa voltar à sua navegação - sem se preocupar.

A segurança da Internet é bastante complexa, portanto, este artigo fornece apenas uma visão geral simples do tópico para leitores não técnicos e dicas sobre o que fazer quando você encontrar erros de segurança.

Por que os Certificados de Segurança Importam

Quando você acessa um site em que precisa fazer login e gerenciar uma conta, é importante que sua conta os detalhes ficam entre você e seu provedor de serviços, para que seu dinheiro, identidade e informações pessoais permaneçam seguro. Seu provedor de serviços on-line pode ser seu banco, uma loja on-line ou site de comércio eletrônico, PayPal, seu e-mail ou seu blog particular.

Quando você acessa esse tipo de site, percebe que o URL começa com um ícone de cadeado e "https: // "em vez de apenas" http://”.

HTTPS (HyperText Transfer Protocol Secure) indica que o site está protegido pela Secure Socket Layer / Transport Layer Security. Os dados enviados entre você e o site são criptografados para que as informações sejam privadas e que o site seja identificado como quem afirma ser. Assim como você verifica sua identidade (por meio de nome de usuário e senha, e outras informações que eles possam solicitar, como em autenticação de dois fatores O que é autenticação de dois fatores e por que você deve usá-laA autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com cartão de crédito não exige apenas o cartão, ... consulte Mais informação ), o site também precisa. O site prova que é operado por seus verdadeiros proprietários, mostrando um certificado de segurança no seu navegador da Internet, que indica para você que o site é legítimo com o símbolo de bloqueio.

Se você não vê essas coisas quando deveria estar em um site seguro, ou se vê um aviso, significa que o site pode ser falso. Em um site como esse, você pode enviar seus dados para as pessoas erradas, o que faria de você uma vítima de um ataque do homem do meio O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar em ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação . Você pode clicar no símbolo de cadeado para obter mais detalhes, se ele não aparecer em verde ou se houver uma marca de aviso amarela.

Os símbolos de segurança diferem: verifique Explicações do Google para aquelas usadas no Chrome, enquanto os usuários do Internet Explorer devem consultar Chave da Microsoft. Os botões de segurança do navegador Safari aparecem no final do URL, conforme explicado pela Apple.

Proprietários, navegadores e autoridades de certificação do site

Os proprietários de sites de comércio eletrônico pagam a uma autoridade de certificação (CA) para verificar quem é a empresa e se suas transações são autênticas.

Navegadores da Web, como Google Chrome, Firefox e Internet Explorer, mantêm listas de autoridades de certificação que consideram confiáveis. Quando você acessa o que deveria ser um site seguro, o site apresenta seu certificado de segurança ao seu navegador. Se o certificado estiver atualizado e de uma Autoridade de Certificação confiável, você poderá fazer login e concluir suas transações, sem aviso.

Se você está iniciando um site seguro, há várias CAs diferentes para escolher. Eles podem incluir Norton, GoDaddy, Microsoft e vários outros. O trabalho deles é verificar se você possui o site para o qual está emitindo um certificado, também conhecido como Verificação de Domínio. Isso pode ser feito enviando um e-mail com instruções para atualizar o nome de domínio do seu site Configurações do servidor (DNS) ou arquivos no servidor da web, para o endereço de email associado ao site domínio. A idéia é que apenas a pessoa que recebeu esse e-mail teria as instruções exatas para atualizar o site e poderá fazê-lo.

Maior segurança

Existem outros tipos mais rigorosos de certificados que uma CA pode oferecer (que custam mais) para verificar quem você e seu empresas, como Validação Estendida, que pode custar centenas de dólares (as grandes empresas às vezes pagam milhares). A Validação estendida inclui a verificação de informações como a identidade legal do proprietário do site, nome da empresa, endereço físico, registro e jurisdição de incorporação. este a segurança do site é uma medida importante de confiança se você administra uma empresa O que é um certificado de segurança de sites e por que você deve se preocupar? consulte Mais informação .

Quando você visita um site que passou por Validação Estendida, os navegadores modernos incluem o nome da empresa em verde na barra de URL, para que você saiba que está lidando com a empresa correta.

Autoridades de certificação gratuitas

Existem Autoridades de Certificação gratuitas por aí, mas como o serviço é gratuito, elas não têm as mesmas camadas de segurança e marca que os grandes nomes. Além disso, eles geralmente carecem da onipresença de reconhecimento do navegador. Isso significa que, se você receber um certificado de segurança gratuito, poderá ouvir dos leitores do seu site que os navegador apresenta um aviso ao visitar seu site de que a Autoridade Certificadora do seu site é não confiável. Você pode obter a Verificação de Domínio gratuita no StartSSL (sem validação de identidade) e isso fará com que seu site seja confiável pelos navegadores Mozilla, Safari e Internet Explorer. Você não receberá a barra verde dos pacotes de validação estendida, que custam cerca de US $ 200. A empresa está sediada em Israel, no entanto, e é obrigada a manter seus documentos de verificação por vários anos.

CACert é uma Autoridade de Certificação gratuita, orientada pela comunidade. Os seguradores voluntários do CACert se reúnem com os proprietários do site para revisar seus documentos de identificação pessoalmente. Infelizmente, os certificados da CAcert não são confiáveis ​​nos principais navegadores e só são incluídos em alguns sistemas operacionais de código aberto.

No entanto, o uso do CACert e do StartSSL oferecerá a criptografia do site, portanto, se você tiver uma interação simples do usuário no site (como um fórum ou wiki), esses serviços gratuitos podem ser exatamente o que você precisa.

O que fazer se você vir um aviso de certificado

O importante a ser feito quando você receber esse aviso do navegador é verificar detalhes. Você poderá descobrir por que o certificado foi rejeitado e decidir por si mesmo se deseja continuar e usar o site de qualquer maneira. Se o certificado expirar, o proprietário do site pode ter esquecido de renová-lo no prazo. Se você vir muito esse erro, verifique a data do relógio do computador e verifique se está correta.

No entanto, se o certificado de segurança foi revogado, isso significa que o site está usando o certificado de forma fraudulenta e você não deve confiar nele. Você também pode receber o aviso de que a Autoridade de Certificação não é confiável. Se você entender e confiar no modelo de verificação ponto a ponto da CACert ou na verificação de domínio do StartSSL, poderá informar seu navegador para confiar nessas autoridades de certificação. Existem outros tipos de avisos e erros; portanto, mantenha os olhos abertos e leia a detalhes.

Quando você vê um aviso de certificado de um site em que confia, também pode tentar verificar o feed do Twitter do site - geralmente com atualizações sobre o site, tempo de inatividade, segurança e outros problemas.

Se eles não tiverem atualizações e se você puder, pode ajudar entrar em contato com o proprietário do site e perguntar o que está acontecendo. Você pode estar poupando muita dor ao proprietário do site e a outros usuários, caso eles ainda não tenham conhecimento do aviso de certificado.

Em resumo, seja vigilante (porque golpes de phishing Novo esquema de phishing usa a página de login do Google com pouca precisãoVocê recebe um link do Google Doc. Você clica nele e entra na sua conta do Google. Parece seguro o suficiente, certo? Errado, aparentemente. Uma sofisticada configuração de phishing está ensinando ao mundo outra lição de segurança online. consulte Mais informação estão lá fora), mas também seja curioso. Vá em frente e descubra por que você vê avisos de segurança.

Você já encontrou um aviso de certificado de segurança? Você dedica algum tempo para descobrir por que está vendo isso? Quais os preocupam mais e você tem alguma dica sobre o que fazer com eles?