Certificados TLS (Transport Layer Security) são usados para verificar a integridade tanto da propriedade como das informações dos sites que você visita. Este artigo explica como funciona.

Quais sites usam certificados?

Sites cujo endereço começa com https usam certificados TLS. Sites que usam certificados TLS somente são seguros desde que verifiquem duas coisas:

• O administrador do site é proprietário do nome do site, ou sabe quem é
• O site criptografa a conexão entre o navegador e ele mesmo, para evitar interceptação

Cadeia de confiança

Navegadores, como o Firefox, verificam certificados por meio de uma hierarquia chamada cadeia de confiança. Ela define uma estrutura para navegadores e outros programas verificar a integridade de certificados. Este diagrama ilustra a cadeia de confiança:

É uma lista de três certificados:

• O certificado raiz (âncora de confiança)
• O certificado intermediário
• O certificado de servidor (entidade final)

Definição: O certificado raiz pertence à autoridade certificadora, que emite certificados TLS, os navegadores confiam inerentemente nas autoridades certificadoras. O certificado intermediário age como intermediário entre a autoridade certificadora raiz e o site. O certificado de servidor pertence ao administrador do site.

Esses certificados contêm as seguintes informações:

• Detalhes sobre a autoridade certificadora (CA)
• Um par assimétrico de chaves
  • Uma chave privada que assina criptograficamente o próximo certificado na cadeia; o certificado de servidor tem uma para outras tarefas
  • Uma chave pública para descriptografar a assinatura do próximo certificado na cadeia, para verificação de identidade; o certificado de servidor usa para outras tarefas

Agora, podemos descrever como o Firefox determina se um site é seguro.

Como o Firefox verifica a integridade de certificados?

É assim que o Firefox usa a cadeia de confiança para verificar certificados TLS:

1. O Firefox baixa o certificado do site que você visita
2. O Firefox verifica o certificado em seu banco de dados interno de autoridades certificadoras
   • Ele usa a chave pública do certificado raiz da autoridade certificadora para garantir que o certificado raiz e o certificado intermediário estejam assinados corretamente na cadeia
3. O Firefox verifica na autoridade certificadora para garantir que o site em que você está conectado corresponde ao site no certificado do servidor
4. O Firefox gera uma chave simétrica (exclusiva) para criptografar o tráfego HTTP na conexão
5. O Firefox criptografa a chave simétrica com a chave pública do certificado do servidor
6. A chave privada, que fica no servidor web, é usada lá para descriptografar os dados da conexão

Como ver um certificado

Para ver um certificado, faça o seguinte:

1. Clique no ícone de cadeado na barra de endereços

   

2. Clique em Conexão segura

   

3. Clique em Mais informações

   

4. Na janela que é aberta, clique em Ver certificado

   

O Firefox abre a página about:certificate em uma nova aba com informações sobre o certificado do site:

As três abas dentro da página mostram, da esquerda para a direita, o certificado do servidor, o certificado intermediário e o certificado raiz.

Conteúdo de certificados

Certificados TLS de segurança de site contêm as seguintes informações:

• Sujeito: Contém o nome do site e atributos opcionais, como informações sobre a organização a quem pertence o certificado.
• Emissor: Identifica a entidade que emitiu o certificado
• Validade: Mostra por quanto tempo o certificado é válido
• Extensão de nome alternativo do sujeito: Mostra os endereços de site em que o certificado é válido
• Informações da chave pública: Mostra atributos da chave pública do certificado
• Número de série: Identifica de forma única o certificado
• Algoritmo de assinatura: Algoritmo usado para criar a assinatura
• Miniaturas de chaves (fingerprints): Códigos hash do arquivo do certificado em formato binário DER
• Usos da chave e Usos estendidos da chave: Especifica como o certificado pode ser usado, como para confirmar a propriedade de um site (autenticação de servidor web)
• ID da chave do sujeito: Um identificador gerado a partir da chave pública do certificado TLS, como forma de identificar o certificado
• ID da chave da autoridade: Um identificador gerado a partir da chave pública do certificado TLS, como forma de identificar a chave pública correspondente à chave privada usada para assinar o certificado
• Destinos de CRL: Os locais das listas de revogação de certificados (Certificate Revocation List - CRL) da autoridade certificadora que emitiu
• Informações da autoridade: Contém o método de validação da autoridade certificadora e o endereço do arquivo do certificado intermediário
• Validação de certificado: Contém o tipo de validação do certificado e o endereço do Certification Practices Statement (CPS) da autoridade certificadora
• SCTs incorporados: Lista os registros de data e hora de assinaturas de certificado (Signed Certificate Timestamps - SCTs)

Problemas com certificados

Quando você visita um site cujo endereço começa com https e há um problema com o certificado de segurança TLS, aparece uma página de erro. O artigo "O que significam os códigos de alerta de segurança?" descreve erros comuns de certificados.

Para ver o certificado com problema, faça o seguinte:

1. Na página de alerta de risco de segurança, clique em Avançado…

   

2. Clique em Ver certificado

   

O certificado com problema é exibido.