HTTPS é o protocolo de segurança de fato para comunicações na web. De fato, a maioria dos navegadores modernos fortemente instar proprietários de sites usam HTTPS, o que requer que os servidores web apresentem um certificado SSL válido, em vez de seu HTTP alternativo inseguro. Isso significa que, se você possui um site herdado que usa HTTP, provavelmente terá que mudar para HTTPS e adquirir um certificado SSL.
No entanto, quando é hora de comprar um certificado, você pode ser confrontado com vários tipos de certificados, cada um com vários recursos técnicos. Aqui no SSL.com entendemos que a seleção do certificado apropriado pode ser confusa e, por esse motivo, criamos este artigo como um guia para os possíveis tipos de certificado e como avaliar se eles atendem às suas necessidades.
Taxonomia de Certificados
Independentemente do tipo, todos os certificados precisam executar uma função essencial: vincular uma chave pública para uma identidade específica de uma pessoa, empresa ou organização.
Tendo dito isto, autoridades de certificação (CA) como SSL.com pode emitir certificados para diversos fins, desde a proteção de pequenos sites até a proteção de serviços em grande escala do setor público ou a sites de comércio eletrônico. Cada caso pode impor requisitos diferentes na política ou funcionalidade do certificado, razão pela qual existem vários tipos de certificado.
Mais especificamente, existem duas características que diferenciam os certificados SSL. Esses são:
- O nível de validação uma CA atua com base nas informações do possível proprietário do certificado, e
- da número e tipo de nomes de domínio (por exemplo:
example.com
,mail.example.com
,*.example.com
etc.) que um certificado suporta.
Nível de validação
As CAs são responsáveis por verificar a identidade de todos os possíveis compradores de certificados, antes de emitirem um certificado. Dependendo do tipo de certificado, no entanto, essas verificações de validação podem variar de simples testes automáticos para comprovar o controle de domínio (para certificados validados por domínio) até o exame manual completo de evidências, confirmação por bancos de dados de terceiros e muito mais (para certificados de validação estendida).
Quanto mais alto for o nível de validação de um certificado, mais confiança pode ser depositada nesse certificado. Os usuários podem confiar mais prontamente em um site que apresenta um certificado de Validação Estendida com trocas de alto risco (como pagamentos ou compartilhamento de informações privadas), porque uma CA confiável verificou a identidade do proprietário.
Como é importante para a segurança, os navegadores reconhecem o nível de validação de um certificado, mostrando gráficos especiais na barra de endereço chamada indicadores de segurança. (O ícone de cadeado antes do endereço deste site é um exemplo de indicador de segurança.) Diferentes indicadores indicam diferentes níveis de validação, e os proprietários de sites podem usar um certificado altamente validado para garantir aos visitantes que eles são uma empresa legítima.
As seções a seguir descrevem os níveis de validação possíveis em ordem crescente. (Observe que cada nível inclui toda a validação dos níveis inferiores também - por exemplo, um certificado de servidor de Validação Estendida também passou pela Validação de Domínio com sucesso.)
Validação de domínio (DV)
Os certificados validados por domínio (DV) são emitidos após um teste de resposta a desafios bem-sucedido (e geralmente automatizado). Em um método, a CA gera aleatoriamente um token exclusivo e exige que o comprador do certificado o coloque em locais pré-determinados dentro de seu servidor web. A CA, em seguida, executa uma série de verificações automáticas para verificar se o token está realmente presente no servidor, o que prova que o comprador realmente tem controle sobre o servidor e seu domínio. Se o controle de domínio for confirmado, a CA continuará emitindo um certificado DV.
Comprar e instalar um certificado DV é o método mais simples e rápido (e mais acessível) para proteger seu servidor. A maioria dos principais navegadores mostra um ícone de cadeado simples como um indicador de segurança ao visitar um site protegido por um certificado DV.
Embora os certificados DV sejam perfeitamente adequados para um site de baixo tráfego, eles normalmente não devem ser confiáveis para transações de alto risco. Se os hackers comprometem um servidor HTTPS e têm a capacidade de alterar seu conteúdo, eles podem efetivamente passar pelas verificações de DV e induzir uma CA a emitir um certificado SSL válido para um servidor de terceiros. Naturalmente, CAs de boa reputação tomam várias contra-medidas para minimizar esse risco, que é uma das razões para trabalhar apenas com CAs em que você pode confiar.
Se estiver interessado em comprar um certificado DV, você pode encontrar mais informações sobre SSL.com's Certificados SSL básicos aqui.
Validação de Organização (OV)
Para emitir um certificado Validado pela Organização (OV), a CA confirma o controle de um domínio (como acontece com os certificados DV) e adiciona a verificação manual das informações da organização do cliente em potencial por meio de processos de verificação estabelecidos e auditados. Normalmente, o CA exigirá documentos de apoio verificáveis ou contato direto com o pessoal da organização. Um certificado OV emitido contém informações verificadas da organização, o que significa que pode fornecer um nível significativamente mais alto de garantia aos usuários finais do que um certificado DV.
Organizações de médio porte que não lidam com informações pessoais ou privadas de usuários podem se beneficiar do uso de um certificado OV. Devido ao processo de verificação mais completo, observe que um certificado OV pode demorar mais para ser emitido em comparação com um certificado DV, e o envolvimento de operadores humanos no processo de verificação significa que um certificado OV também costuma ser mais caro que um certificado DV comparável.
Se você estiver interessado, pode ler mais aqui sobre os certificados SSL de alta garantia de SSL.com.
Extended Validation (EV)
Os certificados de validação estendida (EV) fornecem os mais altos níveis de segurança e confiança, pois um Cs só emitirá um certificado EV quando a propriedade do servidor e a legitimidade de seu proprietário forem comprovadas sem sombra de dúvida. A validação estendida inclui validação de domínio e organização, junto com verificações rigorosas de antecedentes (e verificações cruzadas) na organização do comprador por múltiplo investigadores humanos.
Essas verificações incluem a verificação da existência legal, física e operacional da organização, encontrando registros correspondentes nos bancos de dados oficiais do governo, confirmando que a organização real autorizou a compra do certificado EV através de retornos de chamada e outros métodos intensivos.
Devido a esse nível extra de validação, os navegadores podem mostrar aos usuários um indicador de segurança especial que comunica claramente a confiabilidade de um site protegido por um certificado EV. Na maioria dos navegadores principais, a barra de endereço ficará verde e exibirá o nome verificado da organização.
É por isso que os certificados EV são usados por todos os principais sites e bancos de comércio eletrônico e são altamente recomendados para empresas que desejam criar confiança no cliente em seus sites. As verificações complexas necessárias significam que pode demorar mais tempo para adquirir um certificado EV comparado àqueles que usam níveis mais baixos de validação e também significa que os certificados EV podem custar mais do que as soluções DV ou OV.
Você pode encontrar mais informações sobre os certificados EV de SSL.com nesta página.
Suporte de Domínio
Além do nível de validação, os certificados podem ser categorizados com base no suporte a domínios diferentes (ou múltiplos).
Os certificados do servidor incluirão um ou mais nomes de domínio válidos e um navegador sempre verifica se o certificado foi emitido para o servidor HTTPS que está visitando.
Com base nas necessidades de cada comprador, um certificado pode conter um ou mais domínios (por exemplo example.com
) ou subdomínios (por exemplo, info.example.com
) O suporte ao domínio não depende do nível de validação e a maioria dos seguintes tipos de certificados está disponível nas variantes DV, OV ou EV.
Certificados de domínio único
Um certificado de domínio único permite que os clientes protejam um Nome de domínio totalmente qualificado (FQDN) em um único certificado. Por exemplo, um certificado adquirido para www.example.com
permite que os clientes protejam todas as páginas sob www.example.com/
, como www.example.com/register
or www.example.com/certificates
.
Os certificados de domínio único são ideais para empresas que gerenciam um pequeno número de sites, mas se sua empresa antecipar o uso de mais domínios ou exigir flexibilidade, conveniência ou economia adicional, você poderá se interessar por certificados curinga ou de vários domínios.
Você pode encontrar certificados de domínio único SSL.com aqui e a aqui.
Certificados curinga
Os certificados curinga permitem que os clientes protejam todos os os subdomínios em um FQDN. Por exemplo, um único certificado curinga para example.com
pode proteger example.com
e quaisquer subdomínios (como www.example.com
, info.example.com
or mail.example.com
) Isso pode simplificar bastante o gerenciamento de sua segurança em vários servidores e sites (já que um certificado curinga pode ser usado em vez de vários certificados de domínio único), mas observe que os certificados curinga são apenas DV ou OV.
Se você estiver interessado em comprar um certificado curinga, poderá encontrar mais informações em esta página.
(Se sua empresa gerencia três domínios ou menos, você pode se beneficiar de um de nossos Certificados SSL Premium. em vez de um certificado curinga.)
Certificados de vários domínios (também conhecidos como SAN ou UCC)
Os certificados de vários domínios podem ser encontrados oferecidos sob nomes diferentes, mas geralmente são chamados Nome alternativo para a entidade Certificados (SAN) ou Certificados de comunicações unificadas (UCC).
Os certificados SAN / UCC permitem que os proprietários de sites protejam vários domínios distintos com apenas um certificado. Por exemplo, um único certificado SAN / UCC pode ser usado para proteger ambos www.example.com
e a www.example.co.uk
. Observe que os certificados SAN / UCC não fornecem a mesma função que os certificados curinga, embora os certificados SAN / UCC possam incluir domínios curinga e domínios que não sejam subdomínios do mesmo FQDN.
Um único certificado SAN / UCC pode suportar vários milhares de domínios diferentes. Os clientes podem adicionar ou remover domínios a qualquer momento, o que pode ajudar a simplificar o gerenciamento de sua infraestrutura de segurança. Os administradores precisam monitorar apenas um único certificado com uma data de validade unificada para todos os domínios, em vez de vários certificados de domínio único.
Além disso, os certificados SAN / UCC são ideais para ambientes Microsoft® Exchange e Office Communications, porque podem usar seus domínios alternativos para oferecer suporte ao serviço de Descoberta Automática do Exchange, o que pode tornar a administração do cliente significativamente mais fácil. (Os certificados SAN / UCC também são conhecidos como "certificados do Exchange" por esse motivo.)
Você pode encontrar mais informações sobre nossos certificados SAN / UCC aqui. Para clientes corporativos, SSL.com também oferece nosso Certificados Enterprise EV SAN / UCC.
Se sua empresa gerencia apenas três ou menos nomes de domínio (que podem ou não ser subdomínios relacionados), você pode considerar um Certificado SSL Premium.
Conclusão
Os certificados de servidor são uma ferramenta poderosa para proteger os dados e a reputação do seu site, e selecionar o certificado correto para atender às suas necessidades pode minimizar muito o custo e o esforço necessários para administrar sua infraestrutura de segurança. Esperamos que este artigo ajude você a entender melhor a variação em seus recursos, tempo de emissão e preços, mas ficaremos sempre felizes em ajudá-lo a encontrar a solução que funciona para você. Sinta-se à vontade para nos contatar em suporte@ssl.com para via chat ao vivo para mais informações ou recomendações.
E como sempre, obrigado por escolher SSL.comonde acreditamos que mais segura Internet é uma better Internet.