Perguntas frequentes

Em uma cafeteria que usa Wi-Fi público, um invasor realiza um ataque de remoção de SSL interceptando e rebaixando a conexão HTTPS segura de um usuário para uma conexão HTTP não segura, permitindo que ele capture dados confidenciais, como credenciais de login, e obtenha acesso não autorizado a contas on-line.

Copiar link

A remoção de SSL é um tipo de ataque man-in-the-middle que tem como alvo a comunicação segura entre um usuário e um site, rebaixando a conexão HTTPS segura para uma conexão HTTP não segura.

Copiar link

Essa é uma pergunta de um milhão de dólares sem uma resposta definitiva. De acordo com Edward Snowden, o famoso delator, a NSA está trabalhando nisso. A New Yorker resume as alegações de Snowden e as investigações realizadas pelo Guardian e pelo New York Times sobre como a N.S.A. tentou invadir a Web.

Copiar link

Ferramentas como o SSLstrip e o BEAST (Browser Exploit Against SSL/TLS) realizam ataques específicos contra implementações de SSL/TLS, mas não são um crack de criptografia SSL. Ambos aproveitam vulnerabilidades conhecidas em versões ou configurações específicas de SSL/TLS para interceptar ou manipular comunicações criptografadas. É importante observar que essas ferramentas visam principalmente os pontos fracos na implementação do protocolo, em vez de quebrar diretamente a criptografia subjacente.

Copiar link

A criptografia SSL não foi “quebrada” no que diz respeito aos algoritmos criptográficos fundamentais. As vulnerabilidades e os ataques ocorrem somente quando o certificado é emitido de forma fraudulenta ou comprometido durante a configuração e o gerenciamento inadequados do SSL.

Copiar link

O tipo mais confiável de certificado digital é o Certificado SSL de Validação Estendida (EV). Os certificados EV são submetidos a um rigoroso processo de validação, no qual a autoridade certificadora realiza verificações completas para comprovar a identidade e a legitimidade da organização. Isso inclui a validação da existência legal, da localização física e do status operacional.

Copiar link

Você pode inspecionar os detalhes do certificado por meio do navegador da Web. Comece visitando o site para o qual você tem o certificado SSL. Quando estiver no site, clique no ícone do cadeado na barra de endereços. Isso exibirá as informações do certificado SSL. Procure a opção “Certificate” (Certificado) ou “Certificate Details” (Detalhes do certificado) e clique nela para visualizar os detalhes.

Copiar link

Os tipos de certificados SSL são muito importantes. Assim como o Domain Validation SSL não é adequado para sites financeiros e de comércio eletrônico, não faz sentido obter um certificado EV premium para um blog ou uma pequena empresa. Se você não souber de que tipo de certificado precisa, use o SSL Wizard para obter recomendações instantâneas adaptadas às suas necessidades específicas e ao seu orçamento.

Copiar link

Para determinar se um certificado é autoassinado, verifique o campo do emissor nos detalhes do certificado. Se o emissor for o mesmo que o sujeito (ou se o emissor não for reconhecido por uma CA confiável), é provável que seja um certificado autoassinado.

Copiar link

Embora um certificado autoassinado forneça alguma criptografia, ele ainda é menos seguro do que um certificado emitido por uma CA confiável. No entanto, é melhor ter um certificado autoassinado do que nenhum certificado quando a criptografia é necessária.

Copiar link