Entendendo o cadeado verde no seu browser – 2

Entendendo o cadeado verde no seu browser – 2

Parte 2 de 2

 

No artigo anterior, vimos como as assinaturas e certificados digitais funcionam com o protocolo HTTPS. Neste artigo, prosseguiremos falando sobre as Entidades Certificadoras RAIZ e o processo para estabelecer uma conexão segura.

 

Entidades certificadoras

Autoridades Certificadoras RAIZ
É aí que entram as Autoridades Certificadoras Raiz. Estas empresas têm seus certificados instalados diretamente nos computadores quando o sistema é instalado. Portanto seu celular, notebook e desktop já vêm com uma lista dos certificados de todas as autoridades que poderão assinar certificados. Estas autoridades certificadoras são como os cartórios. Eles garantem a autenticidade das assinaturas digitais e tem “fé pública”.

Esta lista é atualizada regularmente com o sistema operacional e é, em teoria, uma lista que alguém que não tem acesso ao computador, não poderia mudar.

Como exemplo, quem tem computadores com o sistema operacional Mac Os X em inglês e acessou sites da Receita Federal do Brasil já pode ter visto um aviso de site inseguro no navegador. Isto ocorre porque este site utiliza uma Autoridade Certificadora Raiz que não é reconhecida por várias versões do Mac OS X, chamada “Autoridade Certificadora Raiz Brasileira”, ou ACRB. E resolve-se este problema incluindo, na lista de Autoridades Certificadoras, o certificado da ACRB.

Cadeias de certificação
Atualmente a maioria dos certificados digitais vêm assinados por uma entidade certificadora que não é uma autoridade raiz. Isso não é um problema, desde que tal entidade certificadora tenha seu certificado assinado por uma Autoridade Certificadora Raiz autorizada no seu computador. Desta forma, criam-se as cadeias de certificação.

Um certificado final de um website é assinado por um certificado de uma entidade certificadora, que por sua vez é assinado pela Autoridade certificadora raiz. E a este conjunto de certificados conectados chamamos cadeia de certificação ou caminho da certificação. No Windows, este cadeia é exibida quando olhamos as propriedades do certificado de um website e pode conter vários certificados intermediários, mas normalmente são 2 ou 3.

 

Estabelecimento de uma conexão TLS/SSL
Agora que já sabemos como funciona a certificação de um website vamos ver o processo para o estabelecimento da conexão segura, do ponto de vista da segurança do servidor com que está se falando.

  • O seu navegador entra em contato com o servidor web remoto baseado no nome que você digita na barra de navegação.
  • O site remoto se apresenta e envia o certificado digital, provando que o nome digitado na barra é exatamente o mesmo que foi validado pela certificadora (além disso, o certificado deve estar dentro da validade e ter no fim da sua cadeia de certificação uma Autoridade Certificadora Raiz que seu computador conheça).
  • Sabendo que o site é de fato o site correto, seu navegador cria uma chave criptográfica chamada chave de sessão e a codifica com a chave pública encontrada no certificado que foi enviado pelo site.
  • O site remoto decodifica a chave de sessão utilizando a chave privada relativa ao certificado que tinha sido enviado.

A partir deste momento, a comunicação é feita utilizando esta chave de sessão, que foi trocada de forma segura, garantindo a identidade do site remoto. No caso da comunicação TLS/SSL, pode se dizer que o certificado é utilizado para 2 coisas:

Validar a identidade do site remoto
O certificado do site, validado pela Autoridade Certificadora garante que o site remoto é de fato o site que o usuário pretendia acessar, partindo do princípio que o endereço digitado na barra do navegador estivesse correto.

Trocar a chave de sessão entre o navegador e o website
A troca da chave de sessão ocorre utilizando a chave pública do site, que foi extraída do certificado digital. Sendo assim, pode-se garantir que nenhuma outra parte além do navegador e o site remotos tiveram acesso a chave de sessão, que passa a ser a chave para toda a comunicação entre as duas partes.

 

Se você gostou desta série de dois artigos, o convidamos a conhecer o Winconnection X, que fornece uma solução completa de segurança, inclusive com Inspeção HTTPS.
Conheça a Inspeção HTTPS do Winconnection.

 

 


Curta nossa página do Facebook e seja sempre avisado(a) das nossas novidades.
Convidamos também a conhecer nossos produtos, clicando nos sites abaixo.

Obrigado e até a próxima.
Ariel Nigri

Quer melhorar a segurança digital da sua empresa?

A Winco desenvolve há mais de 20 anos soluções de conectividade e segurança digital corporativa para a máxima proteção dos dados da sua empresa. Conheça os nossos produtos:

Winconnection – Solução completa UTM com Filtro de Conteúdo.
Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
Winco DDNS – Acesse facilmente na internet suas câmeras, computadores e outros dispositivos.
Netprotection – Roteador com software de gerenciamento cloud, para sua residência e empresa.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *