edvaldo b. guimarães filho

SSL e TLS: Entendendo a Segurança nas Comunicações Web

SSL e TLS: Entendendo a Segurança nas Comunicações Web

1. Introdução ao SSL e TLS

SSL (Secure Sockets Layer) e TLS (Transport Layer Security) são protocolos criptográficos que garantem a segurança das comunicações na internet. Eles são usados para proteger a integridade e a privacidade das informações transmitidas entre clientes e servidores.

SSL foi o primeiro protocolo criado pela Netscape na década de 1990 para criptografar dados transmitidos pela web. TLS é o sucessor do SSL e foi desenvolvido pela IETF (Internet Engineering Task Force) para melhorar a segurança e corrigir vulnerabilidades encontradas nas versões anteriores do SSL.

2. Certificados SSL/TLS: O Que São e Como Funcionam

Certificados SSL/TLS são utilizados para estabelecer uma conexão segura entre um cliente (navegador) e um servidor (site). Eles contêm informações que garantem a identidade do servidor e são fundamentais para a criptografia dos dados trocados.

2.1. Estrutura de um Certificado

Um certificado SSL/TLS contém várias informações importantes:

  • Informações da Entidade: Nome da organização, localidade e país.
  • Chave Pública: Usada para criptografar dados que só podem ser descriptografados com a chave privada correspondente.
  • Assinatura da Autoridade Certificadora (CA): Garante que o certificado foi emitido por uma CA confiável.
  • Período de Validade: Data de expiração do certificado.
  • Identificadores de Certificado: Inclui o número serial e o nome do emissor.

2.2. Tipos de Certificados

  • Certificados de Validação de Domínio (DV): Confirmam apenas que o solicitante tem controle sobre o domínio. São mais rápidos e baratos.
  • Certificados de Validação de Organização (OV): Incluem a validação da organização que possui o domínio, oferecendo mais confiança.
  • Certificados de Validação Estendida (EV): Oferecem o nível mais alto de validação e segurança, mostrando o nome da empresa na barra de endereço do navegador.

3. Gerenciamento de Certificados

3.1. Certificados Autoassinados

Certificados autoassinados são criados e assinados pelo próprio proprietário do certificado, sem o envolvimento de uma CA. São úteis para ambientes de desenvolvimento e teste, mas não são recomendados para produção, pois não são confiáveis para os navegadores e usuários finais.

3.2. Certificados Emitidos por Autoridades Certificadoras

Certificados emitidos por CAs são confiáveis e amplamente aceitos. Essas autoridades verificam a identidade do solicitante e garantem que o certificado seja válido.

4. Criando e Instalando Certificados Autoassinados

4.1. No Windows usando PowerShell

  1. Abra o PowerShell como Administrador.
  2. Gere um novo certificado autoassinado:
   New-SelfSignedCertificate -DnsName "www.exemplo.com" -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048
  1. Exportar o Certificado e a Chave Privada:
   $cert = Get-ChildItem -Path cert:\LocalMachine\My | Where-Object { $_.Subject -like "*www.exemplo.com*" }
   Export-PfxCertificate -Cert $cert -FilePath "C:\caminho\para\certificado.pfx" -Password (ConvertTo-SecureString -String "senha" -Force -AsPlainText)

4.2. No Linux usando OpenSSL

  1. Abra um terminal.
  2. Gere a chave privada:
   openssl genpkey -algorithm RSA -out server.key
  1. Crie uma Solicitação de Assinatura de Certificado (CSR):
   openssl req -new -key server.key -out server.csr
  1. Gere o Certificado Autoassinado:
   openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

5. Implantação de HTTPS

5.1. Apache

  1. Instale o Certificado Autoassinado Coloque o certificado (server.crt) e a chave privada (server.key) em um diretório acessível pelo Apache.
  2. Configure o Apache para HTTPS Edite o arquivo de configuração do Apache (httpd.conf ou ssl.conf):
   <VirtualHost *:443>
       SSLEngine on
       SSLCertificateFile /caminho/para/server.crt
       SSLCertificateKeyFile /caminho/para/server.key
       # Outras configurações...
   </VirtualHost>
  1. Reinicie o Apache
   sudo systemctl restart apache2

5.2. IIS (Internet Information Services)

  1. Instale o Certificado Autoassinado
  • Abra o Gerenciador do IIS.
  • Vá para “Certificados de Servidor” e importe o certificado autoassinado.
  1. Configure o Site para Usar HTTPS
  • No Gerenciador do IIS, selecione o site desejado.
  • Selecione “Bindings” e adicione um novo binding para HTTPS, escolhendo o certificado autoassinado.
  1. Aplique Configurações de Segurança
  • Vá para “Configurações SSL” no site e configure opções como “Requerer SSL” conforme necessário.

5.3. NGINX

  1. Instale o Certificado Autoassinado Coloque o certificado (server.crt) e a chave privada (server.key) em um diretório acessível pelo NGINX.
  2. Configure o NGINX para HTTPS Edite o arquivo de configuração do NGINX (nginx.conf ou o arquivo específico do site):
   server {
       listen 443 ssl;
       ssl_certificate /caminho/para/server.crt;
       ssl_certificate_key /caminho/para/server.key;
       # Outras configurações...
   }
  1. Reinicie o NGINX
   sudo systemctl restart nginx

6. Garantindo a Segurança dos Certificados

6.1. Protegendo a Chave Privada

A chave privada deve ser protegida com cuidado. É fundamental que ela não seja acessível por usuários não autorizados e que seja armazenada de forma segura. Utilize senhas fortes e considere criptografar a chave privada.

6.2. Renovação e Revogação

Certificados SSL/TLS têm um período de validade. É importante renovar os certificados antes que expirem para evitar problemas de segurança. Se um certificado for comprometido, ele deve ser revogado imediatamente e substituído por um novo.

6.3. HSTS (HTTP Strict Transport Security)

HSTS é um mecanismo de segurança que força os navegadores a usar HTTPS para todas as conexões com o servidor, aumentando a proteção contra ataques de downgrade e de interceptação. Para habilitar HSTS, adicione o cabeçalho Strict-Transport-Security nas respostas do servidor:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

7. Links para Saber Mais

  1. Introdução ao SSL/TLS – Mozilla Developer Network
  2. Documentação do Apache sobre SSL/TLS
  3. Documentação do IIS sobre SSL/TLS
  4. Documentação do NGINX sobre SSL/TLS
  5. TLS 1.3: O Que Há de Novo?

8. Vídeos do YouTube

  1. SSL/TLS Explained – (1h 10m)
  2. Configurando SSL/TLS no Apache – (45m)
  3. Configuração de SSL/TLS no IIS – (40m)
  4. Tutorial Completo de SSL/TLS no NGINX – (50m)
Edvaldo Guimrães Filho Avatar

Published by

Edvaldo Guimrães Filho
With over 30 years of professional experience as a System and Business Analyst, Project Manager, and Technical Marketing and Sales Support Leader, including 20 years specializing in SharePoint and 5 years in Business AI Transformation, I have worked across various industries and markets. I have had the privilege of collaborating with top 500 Brazilian companies such as DASA, Siemens, Telefónica, Heineken, K2, Comgas/Raízen/Shell, Cognizant, Coty, Hypermarcas, Banco Itaú, Cobrape, Natura, Stefanini, Braskem, Nestlé, Avanade, TIM, Infoserver, SysMap, Vivo, Apsen, Siemens, EDS, Duracell, KPMG, Petrobras, CESP, TV Record, Método Engenharia, and MSD (Merck Sharp & Dohme). Today, I manage, project, and develop solutions and integrations using the following technological platforms: SharePoint, Microsoft 365, Power Platform, Power BI, C#, SQL, Python, JavaScript, React, IoT, C/C++, CAD, and 3D Printing.
Categories:
Tags: ,

Leave a comment