Avi Richards 183715 Unsplash

SSL vs. Segurança de Sites

Ter um site hoje é muito mais fácil do que era há 10 ou 15 anos. Ferramentas como sistemas de gerenciamento de conteúdo (content management systems – CMS), construtores de sites, geradores de sites estáticos e outras removem grande parte do trabalho relacionado a criação e manutenção de sites. Existe um preço para essa conveniência?

Eu me atreveria a dizer que uma das desvantagens de trazer tais facilidades é a criação de equívocos. A confusão está aí: o que torna um site seguro ou inseguro. Por exemplo, com a introdução da versão 68 do Google Chrome, sites que não usam certificados SSL estão marcados como site “Não seguro” na barra de endereço.

Um site com um certificado SSL não é necessariamente um site “seguro”. O SSL criptografa os dados enviados entre o visitante e o servidor, mas não protege o site contra hackers. Os proprietários de sites precisam implementar outras camadas de segurança para ter um site verdadeiramente seguro.

Certificados SSL

SSL é o acrônimo para Secure Sockets Layer. É a tecnologia de segurança padrão para estabelecer uma ligação criptografada entre um servidor e um navegador. Certificados SSL tornaram-se uma prática recomendada em segurança de sites por um bom motivo.

Recentemente, escrevemos um artigo para mostrar por que os sites devem mudar para SSL. Em resumo, o Google, o Mozilla e outras autoridades da web estão pressionando para que os proprietários de sites adotem o HTTPS. Uma das maneiras pelas quais o Google pode impor o SSL é adicionando avisos a sites: “Não seguro” no Chrome, a partir do Google Chrome 68.

Chrome 68 not secure warning for HTTP websites
Aviso de não seguro para sites HTTP em Chrome 68

Os certificados SSL ajudam a proteger a integridade dos dados em trânsito entre o host (servidor da web ou firewall) e o cliente (navegador da web). Eles garantem que ninguém consiga ver ou modificar os dados, o que é conhecido como um ataque man-in-the-middle.

Todos os tipos de certificados SSL verificam o nome de domínio do site.

Seguem os tipos de certificados SSL:

Domain Validated SSL Certificate (DV SSL)

Os Certificados DV SSL são os certificados SSL mais populares na Internet, apesar de validarem apenas o nome de domínio.

Certificado DV SSL
Certificado DV SSL

Organization Validation SSL Certificate (OV SSL)

Certificados OV SSL requerem mais documentação para uma Autoridade Certificadora comprovar que a organização que faz a solicitação é registrada e legítima.

Esses certificados exibirão o nome da organização se você clicar no cadeado exibido no canto superior esquerdo de um navegador.

Certificado OV SSL
Certificado OV SSL

Premium Extended Validation SSL Certificates (EV SSL)

Certificados EV SSL exigem ainda mais documentação para uma Autoridade de Certificação validar a organização que faz a solicitação. Esses certificados são mais visíveis porque além de exibir o cadeado na barra de endereços, também exibem o nome da organização.

Certificado EV SSL
Certificado EV SSL

A única diferença real entre esses três certificados é o processo de verificação. A segurança é tecnicamente a mesma para todos. Embora os certificados de DV testem apenas a propriedade do domínio (por meio de mídias técnicas), os certificados OV e EV exigirão documentos reais para serem emitidos.

Certificados SSL e Infecções de Malware

Certificados SSL não podem proteger um site de uma infecção por malware, nem podem impedir que um site espalhe malware.

Ironicamente, os sites infectados HTTPS garantirão a integridade do malware até que alcance suas possíveis vítimas, também conhecidas como visitantes do site.

O cadeado de um site na barra de endereço não significa que o site esteja protegido. Significa apenas que as informações entre o servidor do site e o navegador estão protegidas durante o trânsito.

Isso é algo que tanto os webmasters como os usuários da Internet precisam ter em mente.

É importante forçar o HTTPS depois de instalar um certificado SSL no seu site. Se os invasores comprometerem seu site e vincularem-se a ativos de malware por HTTP, os navegadores exibirão avisos de conteúdo misto.

O Que é Segurança de Sites?

Definir segurança de sites não é simples, mas aqui está uma boa definição que gostamos de usar:

Não há soluções prontas para segurança; deve haver uma combinação de pessoas, processos e tecnologia para criar uma abordagem gerenciável e escalável para a segurança de qualquer organização.

Definir segurança de sites é difícil porque depende das necessidades de cada organização. Por exemplo, um blog pessoal não tem as mesmas preocupações que uma loja de comércio eletrônico ou o site de uma agência de desenvolvimento de sites.

Acreditar que um site está seguro porque implementou um certificado SSL pode se tornar um problema real. Um site com SSL não é seguro se não tiver outras camadas de proteção, como um Firewall de Aplicativo de Site (WAF) ou controles de acesso. Um site HTTPS ainda pode ser invadido e perigoso para os visitantes.

Não importa se é HTTP ou HTTPS, se um site está infectado com malware, algumas empresas de segurança da internet podem colocar avisos nos resultados de pesquisa, permitindo que todos saibam que o site contém códigos maliciosos.

Top 10 de listas negras:

  • Google Safe Browsing
  • Norton Safe Web
  • Phish Tank
  • Opera
  • SiteAdvisor McAfee
  • Sucuri Malware Labs
  • SpamHaus DBL
  • Bitdefender
  • Yandex (via Sophos)
  • ESET

Qual a Diferença entre SSL e Segurança de Sites?

A segurança do site é mais abrangente que o HTTPS/SSL e deve ser tratada como tal. O HTTPS/SSL é um dos muitos controles de segurança a serem considerados quando se pensa na segurança do seu site. A implantação de HTTPS/SSL no seu site faz pouco para garantir que seus visitantes estejam seguros, caso você não realize outras ações para garantir um ambiente seguro.

Podemos imaginar que a razão pela qual algumas pessoas confundem o SSL com a segurança do site é porque o HTTPS/SSL fornece:

  • “não-repudiação” da parte  – responde a questão é você mesmo?
  • verificação de integridade (nada mudou)
  • privacidade (não visto) do dado em trânsito.

Resumindo, em um site HTTPS, os dados em trânsito são protegidos, mas o site em si ainda pode estar vulnerável.

 

FONTE: Sucuri blog