O que é uma autoridade de certificação e como as CAs funcionam?

Atualizado em por Dionisie Gitlan

As autoridades de certificação são a espinha dorsal do setor de SSL e a coluna vertebral que mantém unidos todos os processos de criptografia e segurança. Não é possível criar ou solicitar certificados SSL sem uma autoridade de certificação.

Se você precisa de um certificado autoassinado para a sua organização de intranet ou de um certificado SSL público para proteger o seu site, uma autoridade emissora de certificados governa o processo de emissão de SSL. Então, o que é uma autoridade de certificação e como ela funciona? Este guia fornece as respostas.

Índice

  1. O que é uma autoridade de certificação?
  2. Qual é o histórico das autoridades de certificação?
  3. Quem regulamenta as autoridades de certificação?
  4. Quais são os tipos de autoridades de certificação?
  5. Qual é a lista de autoridades de certificação confiáveis?
  6. Qual é a melhor autoridade de certificação?
  7. Qual é a autoridade de certificação mais barata?
  8. Qual é a lista de autoridades de certificação não confiáveis?
  9. Você pode criar sua própria autoridade de certificação?

O que é uma autoridade de certificação?

Uma autoridade certificadora (CA) ou autoridade de certificação é uma entidade confiável que emite certificados digitais que confirmam a propriedade do domínio e a identidade do solicitante. As CAs desempenham um papel fundamental no estabelecimento de confiança e comunicações seguras entre navegadores e servidores, verificando se o cliente ou a organização em questão é de fato quem afirma ser.

Qualquer pessoa pode se tornar uma CA e emitir certificados autoassinados, mas somente algumas poucas empresas acabam assinando certificados SSL/TLS para o público em geral.

O que as autoridades de certificação fazem?

Em essência, tudo o que uma autoridade de certificação faz é validar a identidade do indivíduo ou da empresa que solicita o certificado SSL. O processo é semelhante ao funcionamento de um cartório. Nos bastidores, as ACs públicas seguem diretrizes rigorosas e passam por verificações de auditoria regulares para estar em conformidade com as práticas mais recentes do setor.

Como funcionam as autoridades de certificação?

Dependendo do nível de validação do SSL, as CAs realizam verificações abrangentes para determinar a propriedade do domínio e a identidade da empresa. Se você solicitar um certificado de Validação de Domínio, sua autoridade certificadora usará vários métodos rápidos para confirmar que você é o proprietário do domínio. No entanto, se você solicitar um certificado de Validação Comercial ou de Validação Estendida, a AC executará um processo de verificação completo por meio de bancos de dados públicos locais ou usará seu número de LEI.

Depois que a autoridade de certificação autenticar o solicitante, ela assinará o certificado digital com seus certificados CA raiz e intermediário, completando assim a cadeia de confiança SSL e tornando seu certificado SSL compatível com todos os navegadores.

A CA é a proprietária final do status do certificado e é a entidade confiável para todos os outros. Ele mantém todo o ecossistema SSL seguro e reduz as possíveis violações de dados. Se as raízes das ACs forem comprometidas, os navegadores e os aplicativos não confiarão mais nelas, o que provavelmente porá fim à sua existência.

A confiança universal na Web não é algo garantido. Ele se baseia em diretrizes de segurança e em uma cooperação eficiente entre os tomadores de decisão do setor de SSL. Assim como a criptografia da Web percorreu um longo caminho desde o primeiro rascunho do agora extinto protocolo SSL, as ACs trilharam seu caminho com altos e baixos para alcançar a confiabilidade de hoje.

Nas seções a seguir, você conhecerá um breve histórico das Autoridades de Certificação e quem as regulamenta.

Qual é o histórico das autoridades de certificação?

Era 1995 quando Mark Richard Shuttleworth, um jovem empresário sul-africano-britânico, fundou a Thawte. Administrada na garagem dos pais de Shuttleworth, a Thawte tornou-se a primeira autoridade de certificação a emitir certificados SSL públicos fora dos Estados Unidos.

No mesmo ano, do outro lado do Atlântico, a Verisign foi criada como um spin-off da empresa de serviços de certificação RSA Security. A nova empresa atuou como uma Autoridade de Certificação e, nos anos seguintes, conquistou cerca de 50% da participação no mercado. A outra metade pertencia a Thawte. Tanto a Verisign quanto a Thawte tinham certificados nos primeiros navegadores Netscape.

Em 1999, a Verisign adquiriu a Thawte de Shuttleworth por US$ 575 milhões e consolidou seu lugar como líder de mercado no início do novo milênio.

Por volta dessa época, em 2002, uma nova autoridade de certificação ganhou destaque. A agora renomada marca GeoTrust foi a primeira CA a emitir certificados SSL validados por domínio público.

Em 2007, a Comodo CA (agora Sectigo) organizou a primeira reunião do Fórum CA/Browser. O consórcio voluntário de CAs, navegadores de Internet e fornecedores de sistemas operacionais contribuiu para a adoção das primeiras diretrizes de validação estendida.

Em 2010, a Verisign vendeu para a Symantec toda a sua unidade de negócios de autenticação, que incluía os serviços de autenticação SSL Certificate, Public Key Infrastructure, Verisign Trust e Verisign Identity Protection.

Após uma série de incidentes de segurança, a Symantec vendeu em 2017 para a DigiCert seu negócio de certificados digitais, incluindo as marcas Verisign, Thawte, GeoTrust e RapidSSL. O valor total do negócio foi de US$ 950 milhões.

Quem regulamenta as autoridades de certificação?

Se as autoridades certificadoras são responsáveis pela validação e revogação de SSL, quem as regulamenta? Para responder a essa pergunta, vamos inspecionar todas as partes envolvidas nesse complexo processo.

Navegadores e aplicativos

Os navegadores e aplicativos definem as regras que regem as ACs. Todos os navegadores contêm informações sobre CAs confiáveis em seu pacote de instalação, também conhecido como armazenamento raiz. Os navegadores aceitarão certificados SSL emitidos por CAs públicas somente se as raízes das CAs já estiverem marcadas como confiáveis no armazenamento de raiz.

Nem todos os navegadores mantêm seu próprio armazenamento raiz confiável. Eles também dependem do armazenamento raiz do sistema operacional do cliente. Se a raiz de uma CA emitir um certificado digital que não faça parte do armazenamento raiz do navegador ou do sistema operacional, o navegador avisará os usuários para não confiarem no certificado SSL.

Mas como os navegadores determinam em quais raízes de CA confiar? Bem, eles sempre tiveram regras predeterminadas sobre como as ACs deveriam funcionar. Além disso, eles estão aprimorando-os continuamente para estabelecer padrões de segurança de alto nível.

Com o tempo, eles eliminaram com sucesso algoritmos mais fracos, como MD5 e SHA-1. Eles também removeram tamanhos de chave desatualizados, como 512 bits e 1024 bits. Se as CAs não atenderem à lista exaustiva de requisitos do navegador, elas serão removidas do armazenamento de raiz confiável dos navegadores.

Navegadores e CAs

Os navegadores têm uma opinião importante sobre como as CAs devem operar. No entanto, um navegador não é a única entidade que regula as autoridades de certificação confiáveis. As próprias CAs, com a aprovação dos navegadores, adotaram várias diretrizes essenciais que revolucionaram o cenário do SSL.

As CAs e os navegadores uniram forças e criaram o CA/Browser Forum, uma organização voluntária de mais de 50 membros de CAs e nove membros de navegadores que define os padrões do setor de SSL.

Regimes de auditoria Webtrust/ETSI

Depois que os membros do Fórum do CAB aprovam cada conjunto de diretrizes e atualizações, eles as enviam para o Canadian Institute of Chartered Accountants/American Institute of CPAs (Certified Public Accountants) ou para o European Telecommunications Standards Institute (ETSI).

As novas regras tornam-se, então, as novas diretrizes de auditoria da WebTrust ou padrões ETSI. Por fim, os navegadores podem adicioná-los aos seus requisitos de armazenamento de raiz confiável, e as CAs devem aderir a eles.

Em conclusão, os navegadores e as CAs supervisionam juntos todos os aspectos de segurança da Web. Seu esforço combinado para aprimorar os padrões do setor de SSL tornou a criptografia SSL segura e fora do alcance dos hackers.

Quais são os tipos de autoridades de certificação?

Ao discutir diferentes tipos de autoridade de certificação, devemos classificá-las de acordo com sua hierarquia, produtos e nível de confiança. Começaremos com a ordem hierárquica que consiste em uma CA raiz, uma CA intermediária e uma CA emissora.

O que é uma autoridade de certificação raiz?

Uma autoridade de certificação raiz é a CA que assina automaticamente os certificados raiz, nos quais os navegadores e os sistemas operacionais confiam por padrão. Como esses certificados são válidos sem verificação adicional, eles são armazenados em dispositivos físicos e mantidos em cofres altamente protegidos.

O que é uma autoridade certificadora intermediária?

Uma autoridade de certificação intermediária é uma AC não confiável por navegadores e sistemas operacionais, mas cujos certificados são assinados por uma AC raiz. Se um aplicativo puder verificar que os certificados emitidos por uma AC intermediária remontam à AC raiz, eles serão considerados válidos.

A função das ACs intermediárias é atuar como uma camada adicional de segurança entre as ACs raiz e as ACs emissoras. No caso de uma violação de segurança, a AC intermediária atenuará o possível impacto na segurança.

O que é uma autoridade certificadora emissora?

Uma autoridade certificadora emissora é a CA que fornece certificados SSL aos usuários finais. Ela é subordinada a uma AC intermediária que usa sua chave pública para assinar a AC emissora. Os certificados assinados por uma CA emissora têm validade de um ano e são confiáveis para os navegadores somente se estiverem encadeados a seus respectivos intermediários e raízes.

Quando se trata de confiança, as ACs são divididas em dois ramos principais: ACs públicas e Autoridades Certificadoras privadas.

Qual é a diferença entre uma autoridade de certificação pública e uma AC privada?

Uma autoridade de certificação pública é uma CA confiável controlada por uma organização terceirizada, geralmente para emitir certificados SSL para o público em geral. Todas as CAs comerciais e de código aberto cujos certificados SSL são confiáveis para navegadores e sistemas operacionais são autoridades de certificação públicas. Por sua vez, as CAs públicas podem ser classificadas em CAs comerciais e CAs de código aberto.

As ACs comerciais oferecem certificados digitais pagos com o mais alto nível de confiança e segurança. Elas são as únicas CAs a fornecer certificados SSL de Validação Comercial, Validação Estendida e de vários domínios.

As CAs de código aberto emitem certificados SSL gratuitos confiáveis por navegadores e sistemas operacionais. Essas CAs podem validar apenas a propriedade do domínio e são adequadas para sites pessoais, blogs ou portfólios on-line que não lidam com transações on-line.

Uma autoridade certificadora privada é uma CA operada por uma única organização, geralmente para emitir certificados digitais para seus dispositivos e funcionários. Os certificados SSL privados são usados exclusivamente em servidores e máquinas internos.

O que é a lista de autoridades certificadoras confiáveis?

Todas as CAs públicas são CAs confiáveis porque seus certificados raiz já estão incluídos nos pacotes de pré-instalação dos navegadores ou nos armazenamentos raiz. Abaixo está uma lista de CAs comerciais e de código aberto em que você pode confiar plenamente.

CAs comerciais em que você pode confiar

Digicert – uma autoridade de certificação premium que opera no mercado de SSL de alta segurança. As empresas da Fortune 500 e 97 dos 100 principais bancos globais usam os serviços da DigiCert para criptografar seus sites e dispositivos.

Sectigo (anteriormente Comodo) – um dos nomes mais reconhecidos no setor de SSL, oferecendo certificados acessíveis para todas as necessidades. Mais de três milhões de clientes usam os produtos Sectigo em todo o mundo.

Thawte – a mais antiga autoridade de certificação com excelente reputação e soluções de segurança no segmento de SSL premium. Os certificados SSL da Thawte são um forte indicador de confiança e confiabilidade.

GeoTrust – outra CA de primeira linha que atende a mais de 100.000 clientes internacionais em 150 países. Os certificados GeoTrust apresentam altas garantias de SSL e selos de site dinâmicos para aumentar a confiança dos usuários.

RapidSSL – uma CA que valida apenas a propriedade do domínio. É a opção perfeita para sites e empresas menores. A RapidSSL emprega um processo de emissão totalmente automatizado que fornece certificados digitais de primeira linha em apenas cinco minutos.

CAs de código aberto em que você pode confiar

Let’s Encrypt – a maior CA de código aberto que oferece certificados SSL de validação de domínio gratuitos adequados para sites pessoais, blogs e plataformas informativas. Os certificados Let’s Encrypt vêm com limitações e podem não ser compatíveis com alguns servidores ou clientes de e-mail.

Qual é a melhor autoridade de certificação?

A melhor autoridade certificadora é aquela que funciona melhor para seu orçamento e projeto específicos. Tanto um carro barato quanto um caro o levarão de A a B. O mesmo princípio se aplica às ACs

Todos os certificados SSL seguem o mesmo protocolo criptográfico e fornecem força de criptografia idêntica. Portanto, quer você use um certificado de sete dólares ou um certificado premium, os navegadores confiarão nele da mesma forma. O que diferencia as CAs é a imagem da marca, o nível de validação, os recursos extras e o segmento de mercado.

Em 2023, a participação no mercado de SSL, de acordo com as pesquisas da W3 Techs, apresenta o seguinte quadro:

  • IdenTrust – 54,3%
  • Grupo Digicert – 15,7%
  • Sectigo – 14,3%
  • Let’s Encrypt – 6,3%
  • Grupo GoDaddy – 5,7%
  • GlobalSign – 3,7%
  • Certum – 0,7%.

Agora você deve estar se perguntando: quem é a IdenTrust e por que não a mencionamos até agora? Por si só, a IdenTrust é uma CA que fornece certificados digitais para instituições financeiras, provedores de serviços de saúde, órgãos governamentais e empresas.

Em 2015, a IdenTrust assinou os certificados intermediários da Let’ s Encrypt, o que permitiu que a CA da Let’s Encrypt fosse confiável em todos os principais navegadores.

Se excluirmos as CAs de código aberto e nos concentrarmos apenas na participação de mercado das CAs comerciais, a Digicert e a Sectigo serão as autoridades de certificação mais populares em todo o mundo.

Qual é a autoridade de certificação mais barata?

A Sectigo (antiga Comodo) é a autoridade de certificação mais barata do mercado, com preços a partir de apenas US$ 7 por ano para um certificado de Validação de Domínio de nível básico. Sectigo é sinônimo de SSL acessível.

Eles ainda têm uma linha exclusiva chamada Positive SSL, que apresenta certificados econômicos para todas as necessidades. Se você precisa proteger um site de uma pequena empresa ou uma rede premium com vários sites, o Sectigo é a resposta.

O que é a lista de autoridades de certificação não confiáveis?

Você pode encontrar muitas listas com CAs confiáveis para diferentes navegadores e sistemas operacionais, mas e quanto às autoridades de certificação não confiáveis? As CAs não confiáveis não existem mais e são relevantes apenas para estudos de caso e fins educacionais.

É quase impossível que uma AC seja comprometida e se recupere de uma violação de segurança significativa. A seguir, apresentamos alguns exemplos do que acontece quando as ACs enfrentam incidentes graves de segurança.

Incidente DigiNotar

Quinze anos após a entrada das primeiras ACs no mercado, os procedimentos de segurança e emissão de certificados ainda apresentavam brechas críticas, impiedosamente expostas por ciberataques. O maior alerta para o setor ocorreu em 2011, quando um invasor desconhecido obteve acesso administrativo total aos sistemas essenciais de CA da DigiNotar.

A Autoridade de Certificação holandesa emitiu um certificado curinga desonesto para o Google.com, comprometendo mais de 300.000 usuários iranianos do Gmail que foram vítimas de ataques man-in-the-middle. Todos os principais navegadores rapidamente desconfiaram da DigiNotar, e ela entrou com pedido de falência voluntária.

O fim da Symantec CA

Embora a DigiNotar fosse um peixe relativamente pequeno no mercado, o que aconteceu com a Symantec alguns anos depois colocou o setor de CA sob maior pressão e escrutínio. Em 2015, o Google descobriu que a Symantec emitiu propositalmente mais de 100 certificados de teste para 76 domínios diferentes sem a autorização dos proprietários dos domínios.

Em um primeiro momento, o Google exigiu que a Symantec empregasse novas medidas preventivas e se submetesse a uma auditoria de segurança de terceiros, mas depois todos os principais navegadores passaram a desconfiar da Symantec devido a contínuos erros.

O desastre da Symantec poderia ter fechado o ecossistema SSL, pois a maior autoridade de certificação da época emitia um terço de todos os certificados digitais na Web. Com milhões de certificados afetados e o prazo de desconfiança do Google para 2018 se aproximando rapidamente, a Symantec concordou em vender todo o seu negócio de certificados digitais para seu principal concorrente, a DigiCert.

Até outubro de 2018, a DigiCert havia revalidado mais de 500.000 identidades comerciais e substituído mais de 5 milhões de certificados afetados.

Você pode criar sua própria autoridade de certificação?

Qualquer pessoa pode criar uma CA e emitir certificados autoassinados para sua organização ou servidores personalizados. Com ferramentas como a CA da Microsoft ou o utilitário OpenSSL, você pode configurar uma autoridade de certificação privada com relativa rapidez. Aqui estão as etapas gerais para estabelecer sua própria CA:

  • Crie os diretórios e os arquivos de configuração para a CA.
  • Gerar a chave privada e o certificado raiz.
  • Adicione o certificado raiz como um certificado confiável em sua rede.
  • Configure o Microsoft CA ou o OpenSSL para usar a chave privada e o certificado do servidor para assinar solicitações de certificado.
  • Gerar uma solicitação de assinatura de certificado SSL (CSR).
  • Crie certificados autoassinados para suas necessidades.

É claro que os navegadores e aplicativos não confiarão em sua CA privada, mas ela pode ser útil para proteger redes de intranet e para fins de teste

Considerações finais

As autoridades de certificação são as guardiãs da criptografia da Web. Por meio de tecnologia avançada e diretrizes rigorosas, eles operam e protegem o processo de emissão de SSL para que nós, usuários, possamos navegar com segurança e compartilhar dados confidenciais com lojas on-line, bancos e serviços de assinatura.

Este guia abrangente não apenas explicou o que é uma autoridade de certificação, mas também se aprofundou nos diferentes tipos de ACs e em suas finalidades. Esperamos que agora você esteja mais bem preparado para discernir uma AC pública de uma privada e escolher a melhor que atenda às suas necessidades.

Perguntas frequentes

As autoridades de certificação são gratuitas?

As ACs privadas são gratuitas, mas seus certificados são autoassinados e não são adequados para a Internet. Por outro lado, as CAs públicas podem ser tanto gratuitas quanto comerciais. Os navegadores e sistemas operacionais confiarão em um certificado digital gratuito ou comercial se ele for assinado por uma CA pública.

Copiar link

Como uma autoridade de certificação verifica a identidade?

Dependendo do nível de validação do SSL, a CA executará uma série de verificações para estabelecer a identidade. Para certificados de Validação de Domínio, a verificação da propriedade do domínio é um processo automatizado que exige que o solicitante siga etapas pré-estabelecidas.

Se você solicitar SSL Business ou Extended Validation, a CA usará bancos de dados públicos para confirmar a identidade da sua empresa. Se isso não for feito, a CA solicitará que você apresente documentação adicional.

Copiar link

Como escolher uma autoridade de certificação?

Certifique-se de que a CA seja confiável e válida. Todas as CAs comerciais oferecem certificados digitais confiáveis com garantias SSL no caso improvável de violação de dados ou emissão fraudulenta. Em seguida, determine as necessidades e o orçamento de seu site antes de obter um certificado digital. Uma ferramenta como o SSL Wizard pode ajudá-lo a escolher o certificado perfeito para o seu projeto.

Copiar link

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.

Posts relacionados
Certificados raiz e intermediários – qual é a diferença?
O que é um pacote de CA em SSL e como criá-lo?
O que é um registro CAA e como ele funciona?
O que é uma garantia de certificado SSL e como ela funciona?
Os certificados autoassinados são seguros? Quais são os riscos?