HTTPS e Certificados SSL: Domain Validation e Extended Validation

Normalmente, precisamos de certificado SSL por dois motivos: 1) poder comprovar o nome do servidor para os clientes; e 2) criptografar os dados que trafegam entre um cliente e o servidor. É um certificado instalado no computador que está "servindo" as páginas que permite o uso da versão segura do protocolo http, o https. Assim o usuário tem um certo nível de confiança de que está fornecendo seus dados para o servidor correto e de que o tráfego de dados não pode ser facilmente capturado e analisado.

Um requisito fundamental para um certificado é ser emitido por uma Autoridade Certificadora - AC - confiável, por padrão, para os sistemas operacionais e browsers. Atendido este requisito, certificados SSL são muito parecidos e variam de preço de maneira aparentemente absurda. Normalmente o preço do certificado aumenta de acordo com a confiabilidade que os usuários tem no que a AC está garantindo. Se a AC for mais antiga e/ou mais reconhecida, tende a cobrar mais por seus certificados. Verisign e Thawte são duas AC pioneiras e tem seus nomes associados à certificados seguros e, consequentemente, sites seguros. Além do conceito abstrato do reconhecimento, o processo de certificação também é importante. Antigamente os certificados eram emitidos mediante análise de documentação, mas os processos de emissão foram sendo automatizados e os preços foram caindo.

Atualmente, praticamente todas as ACs tem um processo simples chamado Domain Validation, ou DV, que checa a propriedade do domínio enviando um email para o seu administrador. Para exemplificar, você quer emitir um certificado DV para o servidor de nome seguro.sualoja.com.br. A AC validará a autenticidade do pedido de certificado enviando um email para admin@sualoja.com.br ou outro email que esteja cadastrado como dono do domínio sualoja.com.br. A emissão do certificado é feita em alguns minutos, sendo automatizada toda a parte do trabalho da AC.

Há diversos certificados intermediários com validação mais rigorosa e, recentemente, surgiu um padrão que são os Extended Validation, ou EV. No processo de validação extendida checa-se a existência da empresa, de seus documentos e o seu real desejo de autenticar um servidor. Como é um padrão de mercado, uma das vantagens é que os navegadores mais recentes reconhecem os certificados EV e mostram a barra de endereços em verde, adicionando um valor especial na confiança da pessoa que acessa o site:

Barra verde do SSL Extended Validation no Firefox 3.5
FireFox 3.5

 

Barra verde do SSL Extended Validation no Internet Explorer 8

Internet Explorer 8
 

 

No Brasil são poucas empresas que já disponibilizam o certificado EV, sempre em parceria com empresas estrangeiras. O problema fica com o preço, salgadíssimo, podendo chegar a R$ 3.000 por um ano. Para a imagem de um banco, é pouco. Para uma empresa (ainda) pequena como a nossa é praticamente inviável na comparação com o custo/benefício de um certificado DV.

A GlobeSSL, por exemplo, revende certificados de várias ACs e está com a promoção de US$ 11.99 por um certificado COMODO válido por um ano. Dependendo dos requisitos de sua aplicação, você pode utilizar até mesmo certificados gratuitos, válidos por períodos menores como 30 ou 90 dias. 

Atualização:

Na época deste post, a InstantSSL forneceu um certificado gratuito para nosso servidor da Intranet, válido por 90 dias. Com a expiração deste em 19 de março de 2010, passamos a utilizar outro certificado gratuito, válido por um ano, emitido pela StartSSL.

blog comments powered by Disqus