Criptografia SSL-TLS

Fazer download em docx, pdf ou txt
Fazer download em docx, pdf ou txt
Você está na página 1de 7

Tipos de sistemas de criptografia

Existem muitos tipos diferentes de algoritmos e métodos de criptografia para escolher. Então,
como saber qual deles é a escolha mais segura para suas necessidades de segurança cibernética?
Vamos começar com os tipos mais comuns de sistemas de criptografia: criptografia simétrica
versus criptografia assimétrica.

Criptografia Simétrica:
Neste tipo de criptografia, existe apenas uma chave, e todas as partes envolvidas usam a mesma
chave para criptografar e descriptografar as informações.
Usando uma única chave, o processo é simples, conforme exemplo a seguir: você criptografa
um e-mail com uma chave única, envia esse e-mail para seu amigo Tom, e ele usará a mesma
chave simétrica para desbloquear/descriptografar o e-mail. O que é uma chave simétrica? Uma
chave simétrica é aquela que pode ser usada para criptografar e decodificar dados. Isso implica
que, para descriptografar as informações, deve ser utilizada a mesma chave que foi usada para
criptografá-las. Na prática, as chaves representam um segredo compartilhado por duas ou mais
pessoas que pode ser utilizado para manter um link de informações confidenciais.

Criptografia assimétrica:
A criptografia assimétrica, por outro lado, foi criada para resolver o problema inerente à
criptografia simétrica: a necessidade de compartilhar uma única chave de criptografia que é
usada tanto para criptografar quanto para descriptografar dados.

O que é uma chave assimétrica? As chaves assimétricas são a base da Infraestrutura de Chave
Pública (PKI), uma técnica de criptografia que requer duas chaves, uma para bloquear ou
criptografar o texto simples e outra para desbloquear ou descriptografar o texto cifrado.
Nenhuma das teclas executa ambas as funções.

Este tipo de método de criptografia mais novo e seguro utiliza duas chaves para seu processo
de criptografia, a chave pública, usada para criptografia, e a chave privada usada para
descriptografia. Essas chaves estão relacionadas, conectadas e funcionam da seguinte
maneira: Uma chave pública está disponível para qualquer pessoa que precise criptografar
uma informação. Esta chave não funciona para o processo de descriptografia. Um usuário
precisa ter uma chave secundária, a chave privada, para descriptografar essas informações.
Dessa forma, a chave privada é mantida apenas pelo ator que descriptografa as informações,
sem sacrificar a segurança à medida que você dimensiona a segurança.

Criptografia Simétrica vs Assimetrica


Velocidade: A criptografia simétrica é geralmente mais rápida que a criptografia assimétrica,
pois requer menos poder computacional, tornando-a adequada para criptografar grandes
quantidades de dados.

Distribuição de chaves: Na criptografia simétrica, a distribuição segura de chaves é crucial,


pois a mesma chave é usada para criptografia e descriptografia.
A criptografia assimétrica simplifica a distribuição de chaves, pois apenas a chave pública
precisa ser compartilhada, enquanto a chave privada permanece confidencial.

Uso de chave: a criptografia simétrica usa uma única chave compartilhada para criptografia e
descriptografia, enquanto a criptografia assimétrica emprega um par de chaves: uma chave
pública para criptografia e uma chave privada para descriptografia.

Casos de uso: a criptografia simétrica é ideal para criptografia de dados em massa e


comunicação segura em sistemas fechados, enquanto a criptografia assimétrica é
frequentemente usada para trocas seguras de chaves, assinaturas digitais e autenticação em
sistemas abertos.

Segurança: A criptografia assimétrica é considerada mais segura devido ao uso de duas chaves
separadas, dificultando o comprometimento do sistema pelos invasores. No entanto, a
criptografia simétrica ainda pode fornecer segurança robusta quando implementada
corretamente com práticas robustas de gerenciamento de chaves.

HTTP SOBRE SSL/TLS

TLDR: SSL/TLS criptografa as comunicações entre um cliente e um servidor,


principalmente navegadores da Web e sites/aplicações Web.

A criptografia SSL (Secure Sockets Layer) e sua substituição mais moderna e segura, a
criptografia TLS (Transport Layer Security), protegem os dados enviados pela Internet ou por
uma rede de computadores. Isso evita que invasores (e provedores de serviços de Internet)
vejam ou adulterem dados trocados entre dois nós — normalmente o navegador da Web de um
usuário e um servidor Web/aplicação. A maioria dos proprietários e operadores de sites têm a
obrigação de implementar SSL/TLS para proteger a transmissão de dados confidenciais, como
senhas, informações de pagamento e outras informações pessoais consideradas privadas.

Como funciona a criptografia SSL/TLS?

SSL/TLS usa criptografia assimétrica e simétrica para proteger a confidencialidade e a


integridade dos dados em trânsito. A criptografia assimétrica é usada para estabelecer uma
sessão segura entre um cliente e um servidor, e a criptografia simétrica é usada para trocar
dados dentro da sessão segura.

Um site deve ter um certificado SSL/TLS para seu servidor Web/nome de domínio para usar
criptografia SSL/TLS. Depois de instalado, o certificado permite que o cliente e o servidor
negociem com segurança o nível de criptografia nas seguintes etapas:

1. O cliente contata o servidor usando uma URL segura (HTTPS…).


2. O servidor envia ao cliente seu certificado e chave pública.
3. O cliente verifica isso com uma autoridade de certificação raiz confiável para garantir
que o certificado é legítimo.
4. O cliente e o servidor negociam o tipo mais forte de criptografia que cada um pode
comportar.
5. O cliente criptografa uma chave de sessão (pre master secret) com a chave pública do
servidor e a envia de volta ao servidor.
6. O servidor descriptografa a comunicação do cliente com sua chave privada e a sessão é
estabelecida.
7. A chave de sessão (criptografia simétrica) agora é usada para criptografar e
descriptografar dados transmitidos entre o cliente e o servidor.

Tanto o cliente quanto o servidor agora estão usando HTTPS (SSL/TLS + HTTP) para
comunicação. Os navegadores da Web validam isso com um ícone de cadeado na barra de
endereço do navegador. Funções HTTPS na porta 443.

Após sair do site, essas chaves são descartadas. Em sua próxima visita, um novo handshake é
negociado e um novo conjunto de chaves é gerado.
A criptografia de sites é obrigatória hoje em dia, e a maneira de ativá-la é instalando um
certificado SSL em seu servidor. Mas antes de obter o certificado da autoridade de certificação
(CA), você deve gerar um código CSR (Certificate Signing Request) e enviá-lo à CA para
validação. Este guia detalhado revela o que é uma solicitação de assinatura de certificado e
como criá-la ao solicitar um certificado SSL.

A autoridade de certificação (CA) é uma empresa ou organização que atua para validar as
identidades de entidades (como sites, endereços de e-mail, empresas ou pessoas físicas) e
vinculá-las a chaves criptográficas por meio da emissão de documentos eletrônicos conhecidos
como certificados digitais.

O que é CSR em SSL?

Uma Solicitação de Assinatura de Certificado ou CSR é um bloco de texto criptografado com


as informações de contato (domínio, nome da empresa, país etc.) que um solicitante de SSL
deve enviar à Autoridade de Certificação (CA) para validação. A CA usa os detalhes do CSR para
autenticar a identidade do solicitante e emitir o certificado SSL.

O que é um arquivo CSR?

O arquivo CSR é um documento de texto codificado com a extensão .csr que contém dados
confidenciais sobre seu site, domínio e organização. Ele também inclui sua chave pública e
assinatura que ajudam os navegadores a verificar sua identidade e estabelecer uma conexão
segura durante o handshake SSL.

Quais informações estão incluídas em um CSR?

Agora que você sabe o que é uma solicitação de assinatura de certificado, vamos ver quais
detalhes as CAs exigem que você envie na CSR. Independentemente de você usar um gerador
de solicitação de assinatura de certificado, um painel de hospedagem ou o utilitário OpenSSL,
as informações a serem inseridas são as mesmas. Aqui está um formulário típico de envio de
CSR:

 Nome comum: digite o FQDN (nome de domínio totalmente qualificado) que você
deseja proteger. Por exemplo, yourdomain.com. Se você tiver um certificado curinga,
adicione um asterisco na frente do seu nome de domínio. Por exemplo,
*.yourdomain.com.
 Nome da organização: especifique o nome oficial de sua organização. Por exemplo,
Your Company LLC. Se você tiver um certificado de validação de domínio, digite NA em
vez disso.
 Unidade organizacional: digite o nome do departamento que está fazendo a
solicitação. Normalmente, é TI ou Administração da Web. Se você tiver um certificado
de validação de domínio, digite NA em vez disso.
 Localidade ou cidade: envie o nome completo da cidade onde sua organização está
localizada. Por exemplo, São Francisco.
 Estado ou província: escreva o nome completo do estado em que sua organização
está registrada. Por exemplo, a Califórnia.
 Nome do país: forneça o código de duas letras de seu país. Por exemplo, os EUA.
 Endereço de e-mail: forneça um endereço de e-mail válido.
 Comprimento da chave: 2048 bits é a opção padrão.

Depois de preencher os detalhes, geralmente é aconselhável verificá-los novamente e evitar


problemas futuros relacionados a dados imprecisos.

Como é a RSE?
Ao abrir o arquivo CSR com qualquer editor de texto de sua escolha, como o Bloco de Notas,
por exemplo, você verá uma sequência aleatória de caracteres aninhada entre as tags —–
BEGIN CERTIFICATE REQUEST—– e —–END CERTIFICATE REQUEST—–. A primeira e a última
linha serão sempre as mesmas, enquanto o conteúdo dentro delas será exclusivo para cada
CSR. Aqui está um exemplo de como é um CSR:

-----BEGIN CERTIFICATE REQUEST-----

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-----END CERTIFICATE REQUEST-----

O CSR para SSL geralmente usa a codificação Base-64, um formato padrão para exibir dados
binários em texto ASCII. ASCII é a sigla de American Standard Code for Information Interchange
(Código Padrão Americano para Intercâmbio de Informações), um sistema de codificação de
caracteres que atribui um número exclusivo a cada caractere do alfabeto.

Como uma CA valida e emite certificados?

Ao solicitar um certificado a uma CA, o requerente primeiro gera um par de chaves pública e
privada. A chave privada deve permanecer sob o controlo e propriedade exclusivos do
requerente. Contudo, em alguns casos, a chave privada pode ser gerada e armazenada de
forma segura num módulo de segurança de hardware (HSM) controlado pela AC emissora.

O requerente então envia uma solicitação de assinatura de certificado (CSR) contendo a sua
chave pública (que é usada para criptografar o certificado e verificar a CSR) e outros dados de
identificação à AC através de um formulário online.

Em seguida, o A CA tomará medidas para validar a identidade do solicitante e o direito de


reivindicar credenciais, como nomes de domínio para certificados de servidor ou endereços de
e-mail para certificados de e-mail no CSR. Este processo varia de acordo com o tipo de
certificado e nível de validação. Por exemplo, para emitir um certificado SSL OV ou EV, a CA
exigirá documentos comerciais e autenticação da identidade do requerente e propriedade de
nomes de domínio.
Se a validação for bem-sucedida, a CA emite o certificado contendo os detalhes e a chave
pública do CSR. A CA assina digitalmente o certificado emitido com sua própria chave privada
para confirmar que verificou a identidade.

Você também pode gostar