Back-End From Zero

Ssl / Tls

Ssl / Tls

o que é um certificado SSL ?

Gean milhore's photo
Gean milhore
·

4 min read

O que são ?

SSL ( Secure Socket Layer ) & TLS ( Transport Layer Security ) são protocolos na camada de apresentação do modelo de redes e são utilizados para criptografar envios de dados de um software a outro.

O TLS é o modelo mais novo e mais seguro de fazer esta criptografia, atualmente está na versão 1.3 e é baseado no SSL porém mais seguro, o mantimento do nome SSL se da ao fato de ser uma sigla mais conhecida, logo tenha em mente que na maioria dos casos quando estivermos falando de SSL na verdade estaremos falando de TLS.

Onde são usados ?

O SSL / TLS pode ser utilizado em conjunto com a maioria das camadas de aplicação, qualquer comunicação de rede, um envio de uma senha, um login, email e até mesmo a compra em um cartão de crédito precisam estar criptografados quando enviados, evitando assim que pessoas possam ouvir estes dados no meio do caminho e compreende-los.

O HTTP quando utilizado sobre um certificado SSL passa a ser utilizado em uma outra porta que por padrão é a 443 e passa a ser chamado de HTTPS.

Objetivo de um Certificado SSL

O objetivo de um certificado SSL é não permitir a falsificação de identidade de um servidor, autenticar e informar ao usuário que esta utilizando o navegador a integridade e confiabilidade do site.

Permite que duas partes se identifiquem, autentiquem e comuniquem, com confiabilidade e integridade de dados utilizando da criptografia.

Fluxo de uma Comunicação SSL / TLS com Certificado

  • 1 . O cliente SSL envia uma mensagem client Hello que lista informações criptográficas com uma versão de SSL ou TLS e na ordem de preferência do cliente com cypher suites suportados pelo cliente.

A mensagem contém uma cadeia de bytes aleatórios que são utilizados e calculados subsequentes, o protocolo permite que o client hello inclua métodos de compactação suportados pelo client.

  • 2 . O servidor SSL responde com uma mensagem server hello que contém o cypher suit escolhido pelo servidor a partir da lista fornecida pelo cliente, o id de sessão e outra sequência de bytes aleatória.

O servidor também envia o certificado digital SSL em conjunto com sua public key.

  • 3 . O cliente SSL faz a autenticação do Certificado SSL do servidor.

O cliente envia uma chave secreta criptografada pela public key do servidor.

O cliente envia ao servidor uma mensagem de concluído que é criptografada pela chave secreta, indicando que a parte do handshake do cliente esta concluído. ( a nova chave secreta permite agora a comunicação simétrica das duas partes )

  • 4 . O servidor envia uma mensagem de concluído para o cliente que é criptografada com a chave secreta indicando que a parte do handshake do servidor está concluído.

  • 5 . Agora o Cliente SSL e o Servidor SSL podem trocar mensagens a vontade que serão criptografadas simetricamente com a chave secreta compartilhada.

image.png

  • Todo navegador possui pré-instalada uma lista de CA's ( Autoridades de Certificação ) que confiam.

  • Um servidor deve relacionar a sua public key própria com seu certificado SSL, assim qualquer navegador com a public key da CA na lista de confiáveis poderá verificar sua integridade através da sua public key.

  • Quando um navegador garante a autenticidade de uma public key vinda do lado do servidor ganhamos um cadeado verde na parte esquerda da barra de links.

  • Uma certificação é assinada por um terceiro que deve ser confiável pelo navegador, caso contrário o certificado enviado pelo servidor seria dado como invalido.

Quais são os tipos de Certificados ?

  • 1 . Certificado de validação de domínio ( DV ) Nível Básico
    Nível de segurança básico, serve para validar a nível de confiança de um domínio ou subdomínio, além de ser barato e rápido para tirar.

  • 2 . Certificado de Validação Organizacional ( OV ) Nível Intermediário
    Além de possuir validação de domínio também possui informações sobre a empresa portadora deste domínio, para emissão deste certificado é importante enviar informações sobre a empresa que esta requerendo o mesmo ,é uma forma de validar tanto a segurança na web quanto a existência física da empresa.

  • 3 . Certificado de Validação Estendida ( EV ) Nível Máximo
    O mais completo e que trás mais informações sobre as organizações que requerem esse certificado. Antes de emitir o certificado é feito um exame aprofundado tanto na empresa quanto no site.
    além das informações que os outros certificados contém este trás junto o nome da empresa , URL do domínio e o endereço físico da empresa.

Fontes:

Código Fonte TV - SSL / TLS

SSLhttpsWeb DevelopmentBrowsersTLS