167 views 8 mins

Como escolher o tipo certo de certificado de segurança ideal para minha empresa?

em Destaques
segunda-feira, 04 de janeiro de 2021

Dean Coclin (*)

Dos administradores de servidor de organizações altamente tecnológicas a gerentes de produto de instituições financeiras, todos querem proteger suas redes. E é nesta hora que surge a pergunta: “Se os certificados TLS fazem todos a mesma coisa, que tipo devo escolher?”

Eles são a tecnologia padrão para manter segura uma conexão à internet e proteger todos os dados confidenciais enviados entre dois sistemas, impedindo que criminosos leiam e modifiquem qualquer informação. Os dois sistemas podem ser um servidor e um cliente (site de compras e navegador) ou um servidor para outro servidor (aplicativo com informações pessoais identificáveis para outro informações de folhas de pagamento).

O TLS usa algoritmos de criptografia para embaralhar as informações em trânsito, impedindo que os hackers as leiam. Com isto dados pessoais, como números de cartão de crédito, nomes, telefone e endereços, permanecem protegidos.

Há três tipos de certificados TLS no mercado e que fazem basicamente a mesma coisa: criptografam informações durante as negociações de TLS.

Instalados e configurados corretamente, o https e o cadeado serão exibidos na maioria dos navegadores. No entanto existem vários níveis de segurança e risco que devem ser avaliados na hora de comprar um certificado para o seu negócio.

. Que tipo de certificado TLS devo comprar? – A maioria dos administradores já sabe quais especificações técnicas devem levar em conta antes de solicitar um certificado. É para uso interno ou público? Qual é a base de usuários e seu método de uso? Qual sistema operacional e software de servidor estão envolvidos? Quais sistemas serão afetados? Quais são os requisitos da política de segurança?

Mas, além disso, um certificado TLS não se refere apenas à funcionalidade, mas também à reputação. Uma pesquisa feita pela Frost & Sullivan em parceria com a DigiCert mostra que, à medida que a fraude online aumenta, a confiança do consumidor na organização diminui. E quem não quer ganhar o reconhecimento dos clientes? Portanto, tenha isto em mente na hora de escolher um certificado TLS.

Conheça os tipos de certificados. Como disse, existem três tipos de certificados TLS: Validação de Domínio (DV), Validação da Organização (OV) e Validação Estendida (EV). As autoridades de certificação (CAs) validam cada tipo de certificado em um nível diferente de confiança do usuário.

Certificado de validação de domínio (DV) – Os certificados validados por domínio são verificados em um registro de domínio para provar a propriedade do domínio do site. No entanto, os certificados DV não oferecem informações de identificação organizacional. Portanto, não é recomendado usá-los para fins comerciais. Eles podem ser o tipo de certificado mais barato, mas não fornecem nenhum valor de autenticação em termos de quem está por trás do site.

Isto quer dizer que os visitantes do site não podem validar se a identidade da empresa é legítima por meio do certificado, o que os deixa mais expostos a fraudes online. Da mesma forma, eles devem ser usados apenas onde a autenticação não for uma preocupação, como sistemas internos protegidos.

? Certificado de Validação de Organização (OV) – Para receber um certificado OV, as organizações são autenticadas pela CA em bancos de dados de registro de negócios hospedados por governos. As CAs podem exigir certos documentos e contato pessoal para garantir que os certificados OV contenham informações comerciais legítimas. Este é o tipo de certificado padrão exigido em um site comercial ou público.

? Certificado de validação estendida (EV) – Os certificados EV adicionam etapas de validação adicionais e oferecem o mais alto nível de autenticação para salvaguardar sua marca e proteger seus usuários. Embora nem todo site na web use certificados EV, eles são usados pelas principais organizações do mundo para garantir a confiança do usuário.

Mais da metade dos 400 principais sites de comércio eletrônico o utilizam, de acordo com dados de 2019 da Comscore e Netcraft. Isto acontece porque as empresas descobriram que mudar de certificados OV para EV aumenta as transações online e melhora o reconhecimento do cliente.

Mas eles não servem apenas para comércio eletrônico: os certificados EV fornecem à sua marca o mais alto nível de garantia e validação para que os usuários saibam exatamente para onde – e para quem – os dados criptografados estão sendo enviados. É por isso que ele é o padrão global da indústria para criptografar dados altamente confidenciais. Eles são usados para logins de área de conta e outras áreas confidenciais.

Além disso, é extremamente difícil falsificar um site habilitado para EV. As páginas que usam certificados EV têm praticamente zero incidentes de ataques de falsas identidades. Isso é significativo porque cerca de 17.700 dólares são perdidos a cada minuto devido a ataques de phishing, que são responsáveis por mais de 80 por cento dos incidentes de segurança.

O EV tornou-se a base para qualquer site respeitável que se preocupa com seguridade, marca e seus clientes. Ele é um atestado de que sua organização está comprometida com a segurança de dados e oferece o mais alto nível de proteção para seus usuários.

. Reputação em jogo – Agora que você já conhece os três tipos de certificados TLS é hora de avaliar qual é o melhor para o seu negócio. Nunca se esqueça de que a reputação é um dos bens mais valiosos de uma companhia e, por isto mesmo, é importante cuidar dela. Chame sua equipe de TI ou fornecedor de tecnologia para analisarem a real necessidade da sua empresa e investir no certificado certo para sua companhia.

(*) – É diretor sênior de Desenvolvimento de Negócios da DigiCert (www.digicert.com).