[Dúvidas] Certificado De Segurança (Ssl)

[keldnner]

A intenção desse tópico é reunir o maior número de informações para quem tem dúvidas de como e onde utilizar. (Eu por exemplo)

Pelo que vejo, existe inúmeras empresas que fazem esse serviço, com preços baixos, médios e altos (fazendo comparação), mas qual dos produtos é válido para seu negócio? Quais as mais confiantes/conhecidas/rápidas/lentas/complicadas que possa utilizar?

Irei editando o tópico com os links que achar no fórum e em outros lugares.

Empresas que prestam esse serviço:

GlobeSSL

GeoTrust

RapidSSL

Thawte

VeriSign

Dúvidas

Todas as empresas oferecem o mesmo tipo de certificado?

Validação do domínio, validação da empesa, e validação extendida?

Warranty? Garantia? Como funciona?

Qual delas é a mais demorada com relação a documentação? E a mais rápida?

O preço funciona do mesmo jeito que um produto qualquer? Quanto mais conhecida/famosa mais cara?

Para um sistema simples que não envolva pagamento de cartões quais seriam os certificados mais indicados?

E um sistema que envolva pagamentos com cartões, por exemplo inscrições, seria a mesma que uma loja virtual?

[Visitante]

eu utilizo o GlobeSSL acho muito interessante, mais não entendo muito das diferenças entre eles.

Creio eu que oferecem a mesma coisa!

[Visitante]

A GlobeSSL e a RapidSSL revendem os serviços da GeoTrust.. acredito que só conseguem diferenciar os preços por causa do valor que é a garantia oferecida.

A garantia que tu se refere, é se alguém 'clonar' o seu certificado, e fazer que a pessoa está acessando o seu site, mas não está.. algumas empresas, como a VeriSign tem um valor MUITO alto (mais de US$40000), dependendo do plano.

[matheus.almeida]

A GlobeSSL e a RapidSSL revendem os serviços da GeoTrust.. acredito que só conseguem diferenciar os preços por causa do valor que é a garantia oferecida.

A garantia que tu se refere, é se alguém 'clonar' o seu certificado, e fazer que a pessoa está acessando o seu site, mas não está.. algumas empresas, como a VeriSign tem um valor MUITO alto (mais de US$40000), dependendo do plano.

Rodrigo,

Tem um da VeriSign que é "básico" e sai por $1.200. Nunca testei.

Só vale apena se tiver muito giro no seu e-commerce ou site, ou se tiver uma Extranet corporativa. Do resto, GeoTrust e Comodo resolvem.

[Visitante]

Rodrigo,

Tem um da VeriSign que é "básico" e sai por $1.200. Nunca testei.

Só vale apena se tiver muito giro no seu e-commerce ou site, ou se tiver uma Extranet corporativa. Do resto, GeoTrust e Comodo resolvem.

Hauhauah, imagina se não fosse o básico!

OFF: A VeriSign comprou a Thawte, não? Se não me falha a memória, ela era do dono da Canonical.

[keldnner]

Mas porque é recomendado VeriSign pelo giro alto de um site? O que ele tem a mais? Existe algo especifico que mostre na hora da compra, sua caracteristica?

[segurancanaweb]

Bom dia!Espero ajudar!

Dúvidas

Todas as empresas oferecem o mesmo tipo de certificado?

Não. Há empresas que se focam em certificados sem validação, com processos mais frágeis, outras com wilcard que permite o compartilhamento, mas deixa inseguro processo já que não associa o certificado ao nome (URL) do site. Outras, com certificados individuais por servidor. E ainda tem os chamados EVs que são a ultima geração, pois além de criar o https, deixam a barra de endereço verde, gerando mais confiança no usuário para comprar ou acessar.

Validação do domínio, validação da empesa, e validação extendida?

Validação do domínio: verificam se no whois (registro.br ou goddady), a empresa que quer comprar o certificado é dona do domínio. Normalmente, exigem também que o comprador tenha um e-mail com o mesmo domínio que quer registrar. Ex.: site www.portaldohost.com.br - e-mail ***@portaldohost.com.br. Muitas vezes é emitido no mesmo dia.

Validação da empresa: checam se a empresa que vai comprar, além de passar nos testes acima, também existe fisicamente, se tem CNPJ, se já realizou transações comerciais e só emitem o certificado, depois de uma ligação para o representante legal da empresa. Demoram entre 2 e 5 dias para emitir.

Validação estendida: combina os testes anteriores + várias provas complementares que reduzem a zero a possibilidade de um site fraudulento conseguir um certificado deste tipo. Seguem normas de certificação de um fórum internacional. Todo certificado de validação estendida é igual não importa a marca e todos deixam a barra de endereço verde. Demoram até 15 dias para emitir.

Warranty? Garantia? Como funciona?

A garantia é para o cliente (usuário) e não para a empresa que compra o certificado, mas ela se beneficia diretamente disso. Se for provado que um certificado foi emitido para um site fraudulento por falha da autoridade certificadora e o cliente (usuário) é lesado, cobre os eventuais prejuizos até o limite da garantia.

Hoje, os certificados das maiores certificadoras têm garantias entre USD 100 mil e USD 750 mil.

Qual delas é a mais demorada com relação a documentação? E a mais rápida?

O mais demorado é o EV - extended validation - (não importa a autoridade emissora). Os mais rápidos fazem apenas validação de domínio.

O preço funciona do mesmo jeito que um produto qualquer? Quanto mais conhecida/famosa mais cara?

Sim. Muitas empresas vendem o selo. A Verisign tem a marca mais poderosa do mercado e por isso, seus produtos são mais caros. Mas empresas como a Geotrust e a Thawte que pertencem ao grupo Verisign oferecem certificados tecnicamente compatíveis com preços mais acessíveis.

Para um sistema simples que não envolva pagamento de cartões quais seriam os certificados mais indicados?

Para qualquer site, inclusive os institucionais, sem acesso a dados restritos, recomenda-se certificados SSL. Alguns, como os da Geotrust fazem também varreduras anti-malware, que previnem contra adulteração de conteúdos (integridade) e inclusão de scripts maliciosos.

Para um comércio que investe no aumento de tráfego e vendas, os EVs são ideiais, Para um site mais simples, um SSL 256 bits de validação de domínio é de bom tamanho. Para empresas que querem manter o respeito de sua marca, os SSl 256 com validação da empresa são ótima escolha.

No final, é importante saber que não importa a marca, todos os certificados SSL são tecnicamente iguais.

E um sistema que envolva pagamentos com cartões, por exemplo inscrições, seria a mesma que uma loja virtual?

As administradoras de cartão recomendam fortemente a compra de um certificado de 256 bits. Escolha este.

Se quiser vender mais e estampar a ideia de que tem um site seguro, prefira um EV (extended validation).

Além das citadas, existe uma empresa brasileira que representa todas maiores marcas internacionais: a VALID - http://www.validcertificadora.com.br

A proposta dela é entregar os certificados SSL por preços acessíveis e em prazo recorde, sem abrir mão do processo de segurança na validação. Lá você compra um certificado das maiores marcas com a vantagem de poder pagar em reais e ainda ter suporte em português da escolha à instalação.

A ideia também é popularizar os certificados de 256 bits, já que os de 40 bits já foram comprovadamente quebrados e os de 128 bits são pura ilusão comercial para elevar os preços dos de 256 bits, pois os navegadores atuais já conseguem forçar 256 bits.

Esperto ter ajudado.

[keldnner]

Muito obrigado, praticamente solucionou minhas dúvidas, só alguns pontos então:

1. O SSL Básico é o do Domínio, onde só disponibiliza a opção de https (isso já basta para segurança com autenticação de sistema basico né?)

2. O SSL Com verificação de empresa onde aparece o https (aqui onde mostra a empresa? é igual o EV mas sem verde? não achei nenhum site que possa checar) (isso funciona da mesma forma com a empresa?)

3. O EV é onde tem a verificação da empresa que é o https dizendo empresa XXX e onde fica verde, isso?

4. Para todas as opções acima, existe o wildcard ou ele só tem junto com o EV?

5. Então os certificados variam de preço conforme os bits ou é o mesmo preço? o melhor então é 256 mesmo?

6. Esse compartilhamento que disse do wildcard se refere a subdominios né? Mas porque não faz a verificação pelo dominio? Wildcard quer dizer que não é uma boa opção para trabalhar com vários subdominios?

7. Como seria esse certificado por servidor? Saberia alguma empresa que oferte para dar uma olhada?

[segurancanaweb]

1. O SSL Básico é o do Domínio, onde só disponibiliza a opção de https (isso já basta para segurança com autenticação de sistema basico né?)

Sim. O importante é a criação do canal criptográfico e todos fazem.

2. O SSL Com verificação de empresa onde aparece o https (aqui onde mostra a empresa? é igual o EV mas sem verde? não achei nenhum site que possa checar) (isso funciona da mesma forma com a empresa?)

Depende do navegor. No IE, Firefox e Chrome, se não for EV é necessário clicar no cadeado para ter essa informação. Em seguida, clicar em informações do certificado. Ou na aba Gerou ou em Detalhes, na opção requerente, virá o nome da empresa (organização)

3. O EV é onde tem a verificação da empresa que é o https dizendo empresa XXX e onde fica verde, isso?

Sim. A barra fica verde e a autoridade certificadora apresenta a mensagem "A identidade do site XXX foi validada por XXX certificadora). Como se dissesse:entrem, confiem, ela é real. Eu garanto.

Veja um site que tem EV: pagseguro.uol.com.br

4. Para todas as opções acima, existe o wildcard ou ele só tem junto com o EV?

O wildcard é um produto a parte. Ele tem validação da empresa. Não existe wildcard EV, exatamente porque o wildcard quebra a cadeia de confiança, já que é copiado para vários servidores e se ele cai, todos os servidores ficam desprotegidos ao mesmo tempo. Nenhuma autoridade certificadora associaria um EV a um modelo tão frágil.

5. Então os certificados variam de preço conforme os bits ou é o mesmo preço? o melhor então é 256 mesmo?

Geralmente variam de acordo com a força criptográfica: seja 40 bits, 128 bits ou 256 bits. Quanto mais bits, maior é a força computacional que criptografa a conexão. Logo, um de 256 bits é mais caro que um de 40 bits. Mas como disse acima, os navegores mais atualizados, forçam os certificados de 128 bits a fechar com 256 bits. Assim, o mercado só mantém a venda os de 128 para poder ter um degrau e cobrar mais caro os de 256. A VALID que eu citei acima, só vende de 256 bits e com preço de 128.

6. Esse compartilhamento que disse do wildcard se refere a subdominios né? Mas porque não faz a verificação pelo dominio? Wildcard quer dizer que não é uma boa opção para trabalhar com vários subdominios?

Sim e não. O que está virando uma perigosa epidemia é que as empresas de hosting compram o wildcard e criam um dominio principal, por exemplo *.lojasupersegura.com.br. Ao hospedar um site, por exemplo www.portaldohost.com.br, eles vendem uma página hospedada em servidor comum chamada portaldohost.lojasupersegura.com.br. E fazem isso dezenas, centenas, talvez, milhares de vezes. Se o certificado cair, vencer, for removido, todos os sites ficam desprotegidos. Fora que o certificado wildcard é um software como outro qualquer. Se alguém com má intenção tiver acesso, pode ser copiado e usado em um servidor pirata ou mal intencionado, exemplo.

Uma solução para evitar isso é usar paginas com este formato www.portaldohost.com.br/webmail em vez de webmail.portaldohost.com.br. Na primeira, tudo que vem depois da barra está protegido pelo common name principal e pode usar o mesmo certificado. No segundo, há um host diferente e é recomendado ter um certificado específico.

7. Como seria esse certificado por servidor? Saberia alguma empresa que oferte para dar uma olhada?

Não entendi. Tipo um trial? Algumas internacionais, como a Geotrust, até têm, mas os certificados trial não tem as cadeias de confiança, então, emitem erros e warnings se instalados em um servidor real. Se quiser comprar, tente a VALID (www.validcertificadora.com.br), eles revedem todas as marcas.

[keldnner]

Realmente já vi essa questão, das pessoas criarem um dominio para area segura, onde possa distribuir para qualquer um.

É porque se eu pegar um certificado, será definido pelo host, que é o www, então http://www.portaldohost.com.br é diferente de http://portaldohost.com.br.

Então o wildcard seria um SSL 256 basico, que é validado pelo dominio com a possibilidade de usar em qualquer subdominio.

7. Como seria esse certificado por servidor? Saberia alguma empresa que oferte para dar uma olhada?

Não entendi. Tipo um trial? Algumas internacionais, como a Geotrust, até têm, mas os certificados trial não tem as cadeias de confiança, então, emitem erros e warnings se instalados em um servidor real. Se quiser comprar, tente a VALID (www.validcertificadora.com.br), eles revedem todas as marcas.

É que você comentou que cada empresa se especializa em um determinado tipo, os fragueis, e etc.

Ai comentou que tem certificado para servidor, isso que eu não tinha entendido.