Em um relatório anterior sobre a mudança de HTTP para HTTPS, ele tocou brevemente em Single Socket Layer (SSL). Em suma, o SSL e seu sucessor, o TLS (Transport Layer Security), são necessários para operar online com segurança.
Neste artigo, vamos dar uma olhada mais de perto na resposta à pergunta "o que é SSL" e também como o SSL / TLS protege suas informações confidenciais.
Por que você deve se preocupar com SSL / TLS?
Antes de entrar em "Como", vamos ver "Por que" você deseja usar o SSL / TLS em primeiro lugar.
$config[code] not foundAtualmente, a segurança de dados é de ouro. Qualquer um que tenha sua identidade roubada pode te dizer isso. A chave para manter suas informações seguras é guardá-las em algum lugar seguro onde ninguém mais possa vê-las.
Infelizmente, isso não é possível on-line. Quando você transfere informações on-line, há sempre algum ponto no processo em que você e seu cliente perdem o controle dos dados.
Você vê, enquanto seu cliente pode proteger o dispositivo em que seu navegador é executado e você pode proteger seu servidor Web, os canais do mundo on-line estão fora de suas mãos.
Quer seja a empresa de cabo, a companhia telefônica ou um cabo submarino operado pelo governo, os dados de seus clientes passarão pelas mãos de outra pessoa on-line e, por isso, precisam ser criptografados usando SSL / TLS.
Aqui estão alguns exemplos dos tipos de informações que você pode usar SSL / TLS para proteger on-line:
- Transações com cartão de crédito
- Logins do site
- Passando informações pessoais e privadas para frente e para trás
- Protegendo seu email de bisbilhoteiros.
Sim, se você realizar negócios on-line, o SSL / TLS é fundamental para seu sucesso contínuo. Por quê? Porque:
- Seus clientes precisam se sentir seguros quando fazem negócios com você on-line ou não fazem negócios com você; e
- Você tem uma responsabilidade com seu cliente para proteger as informações confidenciais que eles compartilharam com você.
Em seguida, vamos dar uma olhada em como o SSL / TLS funciona.
Chaves pública, pública e de sessão são as chaves
Quando você usa SSL / TLS para transmitir seus dados confidenciais on-line, seu navegador e o servidor da Web protegido, ele se conecta para usar duas chaves separadas para configurar uma conexão segura: uma chave pública e uma privada. Quando a conexão estiver em vigor, um terceiro tipo de chave, a chave de sessão, será usado para criptografar e descriptografar as informações transmitidas.
Veja como funciona:
- Quando você se conecta a um servidor seguro (por exemplo, amazon.com), o processo de "handshake" começa:
- Primeiro, o servidor passará o certificado SSL / TLS do seu navegador, assim como a chave pública dele;
- Seu navegador verificará o certificado do servidor para ver se ele pode confiar nele usando fatores como se o certificado foi emitido por uma fonte confiável e se o certificado não expirou.
- Se o SSL / TLS puder ser confiável, seu navegador enviará uma confirmação de volta ao servidor informando que está pronto para ser enviado. Essa mensagem será criptografada usando a chave pública do servidor e só poderá ser descriptografada usando a chave privada do servidor. Incluído nesse reconhecimento está a chave pública do seu navegador.
- Se o servidor não for confiável, você verá um aviso no seu navegador. Você sempre pode ignorar o aviso, mas não é sensato.
- O servidor, em seguida, cria a chave de sessão. Antes de enviá-lo para o seu navegador, ele criptografa a mensagem usando sua chave pública para que apenas o seu navegador, usando sua chave privada, possa descriptografá-la.
- Agora que o handshake terminou e ambos os participantes receberam a chave de sessão com segurança, seu navegador e o servidor compartilham uma conexão segura. O seu navegador e o servidor usam a chave de sessão para criptografar e descriptografar os dados confidenciais enquanto são enviados para a Internet.
- Quando a sessão termina, a chave da sessão é descartada. Mesmo se você se conectar uma hora depois, precisará executar esse processo desde o início, o que resultará em uma nova chave de sessão.
Tamanho importa
Todos os três tipos de chaves consistem em longas cadeias de números. Quanto mais longa a string, mais segura será a criptografia. Do lado negativo, uma string mais longa leva mais tempo para criptografar e descriptografar dados e coloca mais pressão nos recursos do servidor e do navegador.
É por isso que existem chaves de sessão. Uma chave de sessão é muito mais curta que as chaves públicas e privadas. O resultado: criptografia e descriptografia muito mais rápidas, mas menos segurança.
Aguarde - menos segurança? Não é tão ruim assim? Na verdade não.
As chaves de sessão só existem por um curto período antes de serem excluídas. E, embora não sejam tão longos quanto os outros dois tipos de chaves, eles são seguros o suficiente para evitar invasões durante o curto período em que a conexão entre o navegador e o servidor seguro existe.
Algoritmos de Criptografia
As chaves públicas e privadas são criadas usando um dos três algoritmos de criptografia.
Não vamos nos aprofundar muito aqui, você precisa literalmente de um grau de matemática (talvez vários) para entender completamente os algoritmos de criptografia. No entanto, é útil saber o básico quando for a hora de escolher o tipo que seu próprio site usa.
Os três principais algoritmos são:
- RSA - nomeado após seus criadores (Ron Rivest, Adi Shamir e Leonard UMAdlema), a RSA existe desde 1977. A RSA cria chaves usando dois números primos aleatórios em uma série de cálculos. Saber mais…
- Algoritmo de Assinatura Digital (DSA) - criado pela National Security Agency (NSA), o DSA cria chaves usando um processo de duas etapas que usa uma "função de hash criptográfico" em uma série de cálculos. Saber mais…
- Criptografia de Curva Elíptica (EEC) - O EEC cria chaves usando “a estrutura algébrica de curvas elípticas” em uma série complexa de cálculos. Saber mais…
Qual Algoritmo de Criptografia Você Deve Escolher?
Math lado, qual é o melhor algoritmo de criptografia para usar?
Atualmente, a ECC parece estar chegando ao topo. Graças à matemática, as chaves criadas com o algoritmo ECC são mais curtas e, ao mesmo tempo, são tão seguras quanto as teclas mais longas. Sim, o ECC quebra a regra de "dimensionar", o que o torna ideal para conexão segura em dispositivos menos potentes, como o celular ou tablet.
A melhor abordagem pode ser uma abordagem híbrida, em que seu servidor pode aceitar todos os três tipos de algoritmos para que ele possa lidar com o que for jogado nele. As duas desvantagens dessa abordagem podem ser:
- O servidor usa mais recursos que lidam com RSA, DSA e ECC, em oposição a apenas ECC; e
- Seu provedor de certificado SSL / TLS pode cobrar mais. Olhe ao redor, no entanto, existem prestadores muito credíveis que não cobram extra para usar todos os três.
Por que o TLS ainda está sendo chamado de SSL?
Como mencionamos no início deste post, o TLS é o sucessor do SSL. Enquanto o SSL ainda está em uso, o TLS é uma solução mais refinada e conecta muitas das falhas de segurança que assolam o SSL.
A maioria das empresas de hospedagem e provedores de certificados SSL / TLS ainda usam o termo “certificado SSL” em vez de “certificado TLS”.
Seja claro, no entanto, os melhores provedores de hospedagem e certificados estão realmente usando certificados TLS - eles simplesmente não queriam mudar o nome porque isso confundiria seus clientes.
Conclusão
O SSL (Single Socket Layer) e seu sucessor, TLS (Transport Layer Security), são necessários para operar on-line com segurança. Usando longas seqüências de números chamadas "Chaves", o SSL / TLS permite conexões em que as informações do seu e do seu cliente são criptografadas antes de serem enviadas e descriptografadas quando chegam.
Resumindo: se você realiza negócios on-line, o SSL / TLS é essencial para seu sucesso contínuo, pois cria confiança ao mesmo tempo em que protege você e seus clientes.
Foto de segurança via Shutterstock
More in: O que é 5 Comentários ▼
