Autoridades de Certificação

Uma Autoridade de Certificação (CA - Certificate Authority) é uma organização de terceiros com três objetivos principais:

1. Emitir certificados.
2. Confirmar a identidade do dono do certificado.
3. Fornecer provas que aquele certificado é válido.

Você já deve ter ouvido falar de Symantec, Comodo, SERASA, SERPRO ou Let´s Encrypt, dentre outros.

Se tornar uma Autoridade de Certificação exige o comprimento de vários requisitos de segurança e auditorias.
Você precisa ser confiável para ser aceito em um repositório raiz.
Repositório Raiz é basicamente um banco de dados de Autoridades de Certificação confiáveis.
Apple, Windows e Mozilla possuem seus próprios repositórios raiz, que são pré-instalados no seu computador ou dispositivo.

Devo comprar certificado de qual tipo? Você tem três sabores para escolher:

Domínio Validado (Domain Validated). Este tipo de certificado serve apenas para verificar o nome do seu domínio e nada mais. Você provavelmente precisa de um deste.
Organização Validada (Organization Validated). O certificado requer a validação e verificação manual da organização por trás dele.
Validação Estendida (Extended Validation). O certificado requer uma verificação exaustiva da empresa.

Todos os certificados válidos resultam no navegador exibindo um emblema seguro na barra do navegador. Os certificados do tipo Validação Estendida, geralmente, exibem também o nome da empresa.

CERTIFICATAPPROVED

Mas como os certificados são validados?

Quando uma Autoridade de Certificação emite um certificado, ela assina o certificado com o seu certificado raiz, que está pré-instalado no repositório raiz.
Na maioria das vezes, é um certificado intermediário assinado com um certificado raiz.
Se ocorrer uma catástrofe e o certificado raiz estiver comprometido, é mais fácil revogar os certificados intermediários, pois os certificados raiz estão instalados em cada dispositivo.

Vamos ver como um certificado é validado. O processo é baseado em uma 'cadeia de confiança'.

Seu navegador se conecta a um site via HTTPS e baixa o certificado.
O certificado não é um certificado raiz.
Seu navegador baixa o certificado usado para assinar o certificado no site.
Mas este certificado ainda não é o certificado raiz.
Seu navegador mais uma vez consulta o certificado que assinou o certificado intermediário.

É o certificado raiz! Show de bola!

Toda a cadeia de certificados é confiável e, portanto, o certificado do site também é confiável.

Caso o último certificado não seja um certificado raiz e não haja mais certificados para download, a cadeia não é confiável.

Mas por que usar uma autoridade de certificação quando você pode auto-assinar seus certificados?

Um certificado auto assinado fornece o mesmo nível de criptografia que o gerado por uma autoridade.
Nenhum caranguejo pode espionar seus dados.

E é de graça!

Sim, mas quase todos os navegadores verificam se o certificado é emitido por uma autoridade confiável.

Como tal, os visitantes são avisados de que o certificado não pode ser confiável.

Os certificados auto assinados podem ser úteis para testes e intranets, mas você deve evitar usá-los em sites públicos.

Certificados auto assinados podem ser forjados. Basicamente, eles dizem 'Confie em mim, sou eu, eu prometo!'.
Um certificado confiável diz: 'Confie em mim, uma autoridade me verificou'.

A propósito, obrigado por confiar em nós nesta história.

Infelizmente, está chegando ao fim.

Esperamos que você tenha gostado desta história em quadrinhos!

Até mais!

Você conseguiu!

Você terminou a história em quadrinhos! Obrigado, do fundo dos nossos corações, por passar um pouco do seu dia lendo sobre HTTPS.

Propomos três atividades para distraí-lo do fato de que não há outro episódio para ler.

1. Faça o teste

Você pode testar o conhecimento da sua marca sobre HTTPS em um questionário. Sim está isso mesmo, enviaremos um certificado de conclusão se você tiver uma pontuação alta o suficiente.

Take the HTTPS quiz

2. Espalhe nas redes sociais

A coisa certa a fazer. Se você quiser colocar mais pressão sobre nós para criar mais histórias em quadrinhos, aqui estão alguns exemplos para nos motivar.

I want my new comic right meow 😸 @dnsimple! #certificat https://howhttps.works

Tweet this

Don't cat corners! ✂ 🐈 but make more comics @dnsimple #certificat https://howhttps.works

Tweet that

I have a good feline about this upcoming comic @dnsimple 😻 #certificat https://howhttps.works

Tweet this other thing

Bad crab. Bad @dnsimple. 🦀 Make more comics! #crab https://howhttps.works

Last chance tweet button

3. Visite DNSimple

Se você gostou dos quadrinhos e precisa de um certificado SSL para proteger seu site, ou um serviço de DNS sólido e fácil de usar (não são nossas palavras), dê uma olhada no nosso site.

Visit dnsimple

Obs.: Se você quiser sugerir um novo episódio (por favor, não! Pois teremos que atualizar esta página) ou nos dar um feedback sobre os existentes, nos escreva.