O cenário digital em constante expansão exige comunicação on-line segura e proteção de dados. Uma tecnologia que tem desempenhado um papel fundamental na proteção de nossas transações on-line e na troca de informações são os protocolos SSL/TLS e os certificados digitais que os utilizam. Nas últimas duas décadas, os certificados SSL evoluíram e se adaptaram às crescentes complexidades da segurança cibernética, tornando-se um componente essencial da segurança on-line.
Introduzidos em meados da década de 1990, os certificados SSL revolucionaram a forma como transmitimos informações pela Internet. Inicialmente projetados para proteger a transmissão de dados confidenciais, como detalhes de cartão de crédito e senhas, eles se tornaram uma ferramenta essencial para estabelecer confiança, privacidade e criptografia nas interações on-line. Este artigo explora a história dos certificados SSL, traçando sua evolução desde os primórdios até suas encarnações modernas. Ele também examina os principais marcos que moldaram seu desenvolvimento.
Índice
- História do SSL e do TLS – Um passeio pela pista da memória
- A evolução dos certificados SSL no final dos anos 90
- A evolução dos certificados SSL no início do século XXI
- A evolução dos certificados SSL na última década
- O que o futuro reserva para os certificados SSL?
História do SSL e do TLS – Um passeio pela pista da memória
Quando John Wainwright, um cientista da computação baseado no Vale do Silício, encomendou o primeiro livro na Amazon, a última coisa que ele poderia imaginar era ter um prédio com seu nome. Mas é exatamente isso que o maior varejista do planeta valoriza em seu primeiro cliente não funcionário.
Em um salto gigantesco em relação ao final dos anos 90, quando o varejo on-line ainda estava em sua infância, a Amazon agora vende milhões de livros todos os anos. Mas o que Wainwright fez há 25 anos não teria sido possível sem outra tecnologia em segundo plano. Uma tecnologia tão fundamental para a evolução da Internet e das transações on-line que nenhum site pode mais viver sem ela. Estamos falando de protocolos criptográficos e certificados SSL/TLS – os elementos de segurança da Web que tornaram possível a revolução da Internet.
Na época em que os primeiros navegadores estavam popularizando a World Wide Web, a necessidade de pagamentos seguros era uma preocupação urgente. Em algum lugar da sede da Netscape, uma das maiores empresas de serviços de informática da época, Taher Egmal, um criptógrafo egípcio e cientista-chefe da Netscape, estava elaborando o primeiro protocolo de Internet Secure Sockets Layer (SSL).
A evolução dos certificados SSL no final dos anos 90
Sem a possibilidade de testá-lo no mundo real, o SSL 1.0 foi um acidente de carro completo. Repleta de falhas criptográficas e vulnerabilidades de segurança, a primeira versão nunca foi lançada. A Netscape continuou desenvolvendo o protocolo SSL e, em fevereiro de 1995, lançou o SSL 2.0. Ele foi fornecido com o navegador Navigator da Netscape e permaneceu em uso por apenas um ano, até que hackers e especialistas em segurança o expuseram novamente.
Ao mesmo tempo, a Microsoft decidiu revisar o protocolo SSL 2 com algumas adições próprias e lançou a primeira versão do protocolo PCT (Private Communication Technology). No entanto, ele nunca ganhou força e permaneceu compatível apenas com o IE e o IIS.
A Netscape se esforçou para desenvolver o SSL 3.0, que finalmente trouxe um pouco de estabilidade e espaço para respirar na Web. Foi somente em 1999 que um protocolo TLS (Transport Layer Security) 1.0 aparentemente novo veio à tona. Na realidade, o TLS era quase idêntico ao SSL 3.0, e mais um compromisso entre os ferozes concorrentes Netscape e Microsoft do que um desvio do SSL 3.0.
Como Tim Dierks, o autor da implementação de referência do SSL 3.0, lembra, a Netscape e a Microsoft negociaram um acordo em que ambas apoiariam a IETF (Internet Engineering Task Force) a assumir o protocolo e padronizá-lo em um processo aberto.
“Como parte da negociação, tivemos que fazer algumas alterações no SSL 3.0 (para que não parecesse que a IETF estava apenas aprovando o protocolo da Netscape) e tivemos que renomear o protocolo (pelo mesmo motivo). E assim nasceu o TLS 1.0 (que na verdade era o SSL 3.1). E, é claro, agora, em retrospecto, tudo isso parece bobagem.”
O grupo IETF levou três anos para publicar o TLS 1.0. A confusão entre SSL/TLS continua até hoje.
A evolução dos certificados SSL no início do século XXI
No início do novo milênio, os certificados SSL eram tão escassos quanto árvores em um deserto. As autoridades de certificação estavam cobrando centenas de dólares pela validação comercial, a única opção disponível na época. Esse foi um investimento e tanto para as empresas de comércio eletrônico que estavam mergulhando nas águas desconhecidas do mundo on-line.
A necessidade de uma validação mais rápida e fácil era evidente. Em 2002, a GeoTrust se tornou a primeira autoridade de certificação a distribuir certificados de validação de domínio, uma medida que acabaria mudando o cenário do SSL para sempre. Mais rápidos e mais baratos, esses certificados podiam criptografar qualquer tipo de site e acabaram se tornando a força motriz por trás da revolução do HTTPS.
Cinco anos depois, em 2007, outra inovação revolucionária moldou o setor de SSL. A chegada dos certificados de Validação Estendida permitiu que as empresas fornecessem uma garantia razoável aos usuários da Internet de que o site que eles estão acessando é de fato controlado por uma entidade legal. A agora famosa barra de endereço verde EV ajudou as empresas a se identificarem melhor para os clientes e dificultou os ataques de phishing usando certificados SSL.
Nesse meio tempo, a IETF lançou o TLS 1.1 em 2006 para lidar com o ataque BEAST e, em seguida, o TLS 1.2 em 2008, com a criptografia autenticada (AEAD) como seu principal recurso novo. Apesar de ser um avanço significativo na criptografia on-line, levaria anos para que os principais navegadores e servidores o habilitassem. O Chrome adicionou suporte ao TLS 1.2 em agosto de 2013. Naquela época, o IEFT já havia começado a elaborar o protocolo TLS 1.3.
Com a rápida evolução da Web e o número de ataques cibernéticos acompanhando seu crescimento, a necessidade de criptografia em larga escala parecia ser a etapa lógica para uma Internet mais segura. Entre no Google, sem dúvida o maior defensor da transição para HTTPS.
A evolução dos certificados SSL na última década
Em 2014, a história do SSL virou uma nova página quando o Google anunciou que daria um impulso de SEO a todos os sites seguros. E, como todos estavam obcecados com SEO naquela época, os sites que, de outra forma, não chegariam nem perto de um certificado SSL, mudaram de HTTP para HTTPS para obter até mesmo a menor vantagem sobre a concorrência. Essa medida deu início à ascendência do HTTPS e a uma nova era para o ecossistema SSL/TLS.
Pouco depois do incentivo do Google, a Cloudflare, o popular serviço de rede de distribuição de conteúdo, distribuiu certificados gratuitos para seus mais de dois milhões de usuários.
O ano de 2015 registrou três grandes desenvolvimentos no mundo SSL/TLS. Primeiro, os certificados emitidos após 1º de abril tiveram a validade reduzida de cinco para três anos. A vida útil mais curta foi delineada em 2012, nos primeiros requisitos de linha de base para a emissão e o gerenciamento de certificados publicamente confiáveis.
Chegou o Let’s Encrypt, o SSL está obsoleto
Alguns meses depois, em novembro, a autoridade de certificação de código aberto Let’s Encrypt trouxe certificados SSL de validação de domínio gratuitos e emissão automatizada para todos. Com o apoio de empresas como Google, Facebook e Mozilla, a Let’s Encrypt tornou-se rapidamente uma opção popular para sites básicos, blogs e portfólios on-line.
No mesmo ano, o protocolo SSL foi descontinuado pela IETF, mas levaria anos até que os servidores mais antigos o desativassem completamente.
Avançando para 2016, a criptografia HTTPS atingiu a marca de 50% em toda a Web. Embora essa tenha sido uma grande conquista na época, o trabalho estava apenas na metade. O objetivo final do Google era proteger toda a Web. Para isso, seria necessário algo mais radical do que um pequeno aumento de SEO. E, como sempre, as mentes brilhantes do Vale do Silício criaram uma solução simples e eficiente.
Os navegadores começam a bloquear o conteúdo HTTP
Com o lançamento do Chrome 68 em 2018, o navegador começou a sinalizar todos os sites HTTPS não criptografados como não seguros. A Mozilla seguiu o exemplo e, de repente, os certificados SSL deixaram de ser apenas um incentivo de SEO para se tornarem uma necessidade absoluta para todos os tipos de sites. Como os proprietários correram para proteger seus sites e evitar o aviso ameaçador, a criptografia HTTPS disparou para 80% em toda a Internet.
Os certificados SSL eram agora a nova norma. Um elemento indispensável para a criação e a segurança de sites. A partir daí, a evolução do HTTPS tomaria uma nova direção. Em sua próxima versão, o Chrome 69 removeria o selo de segurança dos sites HTTPS, deixando apenas o cadeado como o único indicador.
Isso novamente consolidou a grande mudança na abordagem do Google em relação a sites criptografados. Se no passado, ele oferecia recompensas para incentivar a migração para HTTPS. Agora, ela fez o caminho inverso e começou a penalizar os sites não criptografados. A barra verde da Validação Estendida sobreviveu, mas logo seu tempo também chegaria ao fim.
Data de lançamento do TLS 1.3
Em meio a essas mudanças críticas, a IETF publicou o tão aguardado protocolo TLS 1.3. O desenvolvimento levou cinco anos e ocorreu uma década após a versão anterior do TLS 1.2, mas a espera valeu a pena. Lançado em agosto de 2018, o TLS 1.3 removeu várias cifras e algoritmos antigos e reduziu pela metade a velocidade do handshake do TLS. Assim como nas versões anteriores, sua adoção seria lenta.
O movimentado ano de 2018 testemunhou mais um desenvolvimento crucial no cenário de SSL. A validade do SSL, em constante mudança, foi reduzida novamente, desta vez por apenas dois anos. A nova restrição permitiu que os certificados SSL expirassem e fossem reemitidos com mais frequência, permitindo que as autoridades de certificação controlassem melhor o ambiente SSL/TLS geral.
Depois de um longo passeio pelo passado, finalmente chegamos ao nosso tempo atual. No mundo on-line, a criptografia HTTPS na Web ultrapassou o número de 95%. A meta do Google de proteger toda a Internet agora é uma realidade.
Mudanças no HTTPS pós-2020
Os navegadores continuam a normalizar a conexão HTTPS, tornando-a mais neutra. Em sua última ação, tanto o Chrome quanto o Firefox eliminaram o indicador de validação estendida de suas barras de endereço e o reposicionaram no painel de informações do certificado. O Google realizou pesquisas internas e externas e descobriu que o indicador EV não transmite informações sobre a identidade e a segurança de um site de maneira eficiente. Além disso, ele ocupa muito espaço e pode apresentar nomes de empresas confusos. Mesmo assim, a remoção do indicador EV não é o fim dos certificados de Validação Estendida. Seu principal benefício continua sendo a verificação abrangente da identidade da empresa.
Enquanto isso, a validade do SSL continuou a diminuir. Desta vez, foi a vez da Apple reduzir por unanimidade o ciclo dos certificados para apenas um ano para o navegador Safari. A nova alteração entrará em vigor a partir de 1º de setembro. Como o Safari é o segundo navegador mais popular da Web, seus concorrentes seguiram a decisão da Apple. A validade de um ano diminui ainda mais a janela de exposição a ataques cibernéticos, gerando novas chaves regularmente. Todas essas mudanças enfatizaram novamente a natureza sempre mutável do histórico do SSL.
O que o futuro reserva para os certificados SSL?
Com a criptografia universal, vem uma responsabilidade maior de proteger os dados confidenciais dos usuários contra ataques cibernéticos persistentes. Embora as falhas dos protocolos mais antigos tenham sido erradicadas nas versões posteriores, o risco de novas ameaças à segurança permanecerá alto enquanto a Internet estiver evoluindo.
Muitos especialistas em FinTech sugeriram o blockchain como um possível substituto do SSL. Em termos simples, um blockchain é uma estrutura de banco de dados que armazena informações em lotes chamados blocos, vinculados sequencialmente para formar uma cadeia de blocos. Cada cadeia é um livro-razão público em que as transações são registradas e confirmadas anonimamente. Um dos exemplos mais famosos de blockchain é a criptomoeda Bitcoin. Mas como a blockchain pode melhorar a criptografia da Web?
Para começar, ele pode ser usado por partes individuais para gerar chaves criptográficas exclusivas que podem verificar informações e fornecer comunicação segura. Já existem no mercado vários certificados SSL baseados em blockchain. Esses certificados eliminam as autoridades de certificação (fator humano) das transações digitais, garantindo uma autenticação mais forte.
Um desses sistemas é o Remme. O protocolo de infraestrutura de chave pública distribuída atribui certificados SSL a dispositivos individuais, como smartphones ou PCs, e armazena as informações do certificado em um banco de dados seguro e habilitado para blockchain.
Embora o blockchain seja apontado como o melhor substituto do SSL, tirar as CAs da equação pode gerar o efeito oposto. A tecnologia ainda está em sua infância e, até que os desenvolvedores possam provar sua eficiência e estabilidade no fornecimento de confiança descentralizada, as Autoridades Certificadoras altamente regulamentadas continuarão a verificar a legitimidade dos proprietários de certificados.
Como diz o velho ditado, se não está quebrado, não conserte. Isso não quer dizer que as ACs não tenham tido sua cota de problemas e testes, mas seu progresso ininterrupto transformou o setor de SSL em um lugar muito mais seguro. Atualmente, as principais ACs oferecem uma ampla gama de opções de gerenciamento e automação de certificados, ajudando as empresas a gerenciar com eficiência milhares de ciclos de certificados.
Tanto os navegadores quanto as CAs estão tão confiantes no registro de segurança do SSL que o Google pretende remover o ícone do cadeado, o último indicador sobrevivente de um site seguro. Até o momento, todas as intenções do Google se concretizaram. O fim do cadeado SSL marcará a revolução do HTTPS como uma história de sucesso e um capítulo importante na jovem história da Internet.
Linha de fundo
Quase três décadas se passaram desde a chegada do primeiro protocolo SSL. Toda a Internet evoluiu muito desde os primeiros dias dos navegadores, a ponto de se tornar um ambiente completamente diferente. A criptografia da Web agora é onipresente. Os protocolos SSL e TLS mais antigos foram descontinuados, abrindo espaço para a versão mais recente do TLS 1.3.
O histórico do SSL nos ensinou a importância da criptografia, da autenticação, da adaptabilidade, dos padrões do setor, da usabilidade, da acessibilidade e da natureza contínua da segurança. Essas lições fornecem percepções valiosas à medida que nos esforçamos para criar um mundo digital mais seguro e protegido para indivíduos, empresas e organizações em todo o mundo.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
