Hoje em dia, falar de compra segura, não clicar em links, não abrir e-mails de remetentes desconhecidos virou muito mais que lugar comum. Se junta a esse lugar comum a necessidade de utilização de um certificado digital.
Correndo o risco de ser óbvia, o certificado digital nada mais é do que o famoso cadeado exibido na barra do navegador que tem duas principais funcionalidades: garantir a criptografia dos dados e dar autenticidade à página. Apenas isso. O certificado não deixa o site mais ou menos seguro, nem mais ou menos rápido. Isso, todo mundo sabe. O que nem todo mundo sabe é que na emissão de um certificado digital, a parte mais importante é o antes da emissão e não o certificado em si.
Todos os certificados utilizam como padrão de criptografia o algoritmo RSA. Por essa premissa, todos têm os mesmos padrões de tecnologia e segurança. O que muda então, além do preço a se pagar pelo serviço? Se seu foco é unicamente o preço, talvez seja necessário rever alguns conceitos. A validação de informações e a garantia de que o certificado está sendo emitido para a companhia a qual determinado domínio realmente pertence, são vitais na emissão de um certificado. É o processo de validação que garante que uma empresa A não pode comprar um certificado em nome da empresa B.
Alia-se a essa questão compras efetuadas em empresas fora do Brasil, que possuem por esta razão, legislações diferentes. Existem seguros e obrigatoriedades que as CAs devem possuir, no contrário, a empresa que adquire o serviço pode não ter respaldo legal e financeiro, caso tenha problemas. No Brasil, apenas duas empresas atuam como Autoridades Certificadoras, ou seja, que emitem e gerenciam diretamente os certificados.
Além disso, contar com um técnico falando português a qualquer hora do dia ou da noite é um diferencial nem sempre levado em conta, mas que faz considerável diferença se seu site ou aplicação, seja lá por qual motivo for, ficar com o certificado digital indisponível durante o final de semana, por exemplo. Situações onde o servidor é totalmente perdido ou o host exclui indevidamente o certificado, não são tão surreais quanto pode parecer, pelo contrário. E quando isso acontece você faz ideia do SLA para uma nova emissão, se não houver backup, ou até mesmo se ela tem custos? Novamente estamos falando de diferenciais.
Recentemente pudemos observar na mídia notícias de fraude em uma Autoridade de Certificação holandesa. Nessa fraude foram gerados vários certificados de forma ilegal, inclusive um deles para o site google.com. Posteriormente foi descoberto que o certificado em questão foi utilizado para espionar contas de Gmail de mais de 300 mil iranianos. Neste caso em específico, a vulnerabilidade estava na Autoridade Certificadora, que por falhas de segurança teve seu sistema invadido por hackers. De qualquer forma, a maneira com que a CA valida as informações de seus clientes e a maneira que atende às boas práticas de segurança recomendadas, diz muito sobre sua própria infra estrutura.
Muitas pessoas ainda acham que o certificado digital é o selo de validação. É constante a solicitação de compra por um selo e não por um certificado. Entretanto, o selo é apenas a maneira visual de demonstrar ao consumidor que o site possui criptografia e é autêntico, mas o que faz isso ser possível é o certificado. Não é raro, infelizmente, identificar sites que utilizam selos de validação indevidamente. Por vezes encontramos um selo de uma empresa diferente da que realmente certifica o site e outras vezes, encontramos selos em websites que sequer possuem um certificado digital.
Essa situação nos coloca diante da necessidade de conscientização não só dos consumidores finais, mas também dos desenvolvedores, gestores e demais profissionais de Segurança. No mercado brasileiro existem diversos tipos de certificados que atendem de grandes empresas até certificados específicos para desenvolvedores com valores mais acessíveis.
Portanto, se o seu foco de decisão ao optar por um certificado digital é apenas o preço, cuidado. Como já diria o velho ditado, o barato pode sair caro.