Certificado Digital gratuito ou pago: qual escolher?

Certificado Digital gratuito ou pago: qual escolher?

Primeiro, um pouco de história

No início da internet, sua implementação era voltada exclusivamente para a solução de problemas de comunicação, e a segurança não havia de ser uma prioridade. Mais à frente com a sua disseminação na década de 90, cada vez mais serviços foram implementados, o que aliada ao barateamento dos Personal Computers chamou a atenção do público comum para esse novo meio.

Ao redor do mundo, as pessoas estavam aos poucos conhecendo o que era essa da Internet, onde morava, o que comia, e como se reproduzia…

Um número perto de zero pessoas deste público estava preocupada com a segurança das informações trocadas, que mais uma vez foi colocada em 2º plano, ofuscada pelas maravilhas dos chats, sites institucionais coloridos e contadores de visitas em JavaScript.

Modernizando: o HTTPS

Dada uma crescente preocupação com segurança a partir da década de 90, em 1994 a Netscape cria o protocolo SSL (Secure Sockets Layer), que aos poucos viria a revolucionar o modo como as conexões seriam realizadas e protegidas. Dentre outras implementações, a aplicação do SSL no protocolo HTTP em particular gerou o famoso HTTPS.

Ainda naquele período, começamos a ver sites mais inteligentes, dinâmicos, interativos e… famintos de novas informações. Nós usuários seríamos convidados a compartilhar nossos dados pessoais e emails com as empresas, a fim de receber novos serviços e facilidades. O que estava dando muito certo até, finalmente, acontecer a disseminação dos comércios eletrônicos.

Foi nesse momento que o jogo mudou: com o fornecimento dos dados financeiros dos usuários na Internet, chamou-se a atenção de grupos com conhecimento técnico e motivação suficiente para roubar estes novos dados que agora estariam trafegando na Internet.

Apenas a tecnologia do HTTPS existente poderia auxiliar estes sites a proteger seus dados. Da forma como foi concebido e até hoje, este protocolo procura garantir que todos os dados trafegados entre um site e seus usuários está criptografado, evitando assim que seu conteúdo seja bisbilhotado por outras pessoas.

Sendo um novo nicho, a emissão de certificados foi rapidamente abraçada por um mercado de grandes empresas que viram a oportunidade de oferecer o serviço, o que era uma prática bastante lucrativa dada a crescente preocupação com segurança dos dados na Internet.

Ao longo dos anos, apesar do crescimento do número de empresas do setor que realizavam emissões, estas continuavam sempre mantendo preços que afastavam pessoas comuns e empresas com menos poder aquisitivo. O fantástico certificado digital não estava ao alcance de todos.

Novas soluções

O mercado de certificados crescia próspero e lucrativo até que recentemente, em Novembro de 2014 foi anunciada a criação da Let’s Encrypt, uma iniciativa que prometia revolucionar o mercado de certificados digitais, com a ideologia que os mesmos deveriam ser gratuitos, pois entendem que a segurança na Internet é um direito de todos. Depois de diversas publicações e investimentos, essa empresa lançou seu primeiro certificado digital em Setembro de 2015, e já em Abril de 2016 começou a disponibilizar publicamente certificados para qualquer pessoa ou empresa, de forma gratuita. Nem mesmo cadastros gratuitos são exigidos pela Let’s Encrypt para esse serviço.

Hoje, é possível a qualquer um, pela API disponibilizada pela empresa, ou via diversos outros softwares, ter seu próprio certificado digital para garantir a criptografia dos dados trafegados em seus sites. Uma solução eficaz, gratuita e rápida!

As empresas certificadoras tradicionais vão falir?

Não, não vão.

Acontece que há diversos tipos de certificados digitais existente no mercado, sendo que a Let’s Encrypt só emite um tipo atualmente (Certificado de Domínio), que garante apenas que suas comunicações estão criptografadas, seja para onde for. Para a maioria dos usuários e empresas, esta se dá como suficiente.

Como a Let’s Encrypt permite a emissão gratuita, rápida e sem burocracia de certificados, podemos perceber uma pequena lacuna neste serviço: a garantia de autenticidade. Qualquer dono de um domínio pode emitir um certificado para o mesmo, independente de qualquer verificação de documentos ou aprovação de autoridade governamental.

Com o cenário acima, podemos perceber que indivíduo mal-intecionado pode registrar um domínio com nome parecido de uma marca idônea, emitir um certificado digital gratuito, e se fazer passar por aquela marca, aproveitando a confusão de seus consumidores com o nome parecido do domínio. Para piorar, o certificado digital gratuito fará com que o famigerado “cadeado” apareça no topo dos browsers, fazendo parecer que aquele site é autêntico, quando não é esse o propósito do certificado de domínio.

Para solucionar isso, hoje as grandes empresas que precisam adicionalmente garantir a seus usuários que estão acessando o site correto, adquirem o que chamam de Certificado EV (Extended Validation), pois para a criação destes, é necessária confirmação presencial de documentos de existência daquele emissor, o que evita os tipos de fraudes mencionados acima.

Quando um navegador acessa um site com um certificado EV válido, o mesmo apresenta a simpática “barrinha verde” à esquerda do nome do domínio sendo acessado, garantindo que aquele site de fato foi disponibilizado pela empresa demarcada no título.

Foi publicado recentemente que em Janeiro de 2018 a Let’s Encrypt passará também a emitir certificados coringas (Wildcard Certificates), que poderão criptografar comunicações de qualquer subdomínio de um domínio, independente de emissão prévia específica. Apesar de ser um avanço grande, ainda não substitui o certificado EV.

Conclusão

Portanto, hoje temos segmentados dois tipos de empresas: aquelas que precisam apenas proteger os dados de seus consumidores, criptografando as comunicações, e podem utilizar certificados gratuitos para isso. E aquelas empresas que decidem gastar bastante anualmente para tentar fazer com que seus clientes tenham certeza que se encontram no site certo, entendendo que os mesmos podem ser alvo de sites com nomes parecidos.

Recentemente, a Google anunciou que está tomando ações para garantir a disseminação do HTTPS na Internet. A mais recente foi que até o final de 2018, qualquer site HTTP (sem SSL) sendo navegado por seu browser Chrome receberá um desagradável aviso de “inseguro”, a fim de incentivar que todos os responsáveis realizem a geração de certificados, para proteger seus usuários. Se esta prática se consolidar, poderemos ver ser adotada por outros fabricantes de browsers, como o Firefox da Mozilla, o Edge da Microsoft, entre outros.

Fechar Menu