O que é o 'Let's Encrypt'? Entenda como funciona a certificação digital na web

Tira-dúvidas explica o que são os certificados digitais na web, o que eles garantem e por que nem todas as páginas com cadeado são idôneas. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

É confiável o acesso a endereço da internet, mesmo conhecido, cujo certificado de segurança exibe "Let's Encrypt Authority X3, gratuito, automatizado e aberto"? – José Oliveira

Quando navegamos em um site HTTPS, é possível obter algumas informações da página com um clique no cadeado que aparece na barra de endereço do navegador. É provável que apareça, com destaque, o nome da autoridade certificadora (ou "homologação") responsável pelo certificado digital em uso por aquele site.

A "Let's Encrypt" é uma das autoridades que podem aparecer quando o navegador exibir essa informação.

Informações do certificado digital exibidas no navegador Firefox. Cada navegador mostra esses dados de uma maneira própria.

Reprodução

Não há problema algum se o nome da Let's Encrypt aparecer nesta tela. Ela é de fato uma autoridade confiável para emitir esses certificados.

Mas o certificado e a homologação estão vinculados à criptografia usada pelo site, não à legitimidade. Isso significa que um site pode ser certificado e mesmo assim ser fraudulento – seja esse site autenticado pela Let's Encrypt ou outras empresas do ramo.

Esse é a lição mais importante a ser entendida sobre esse assunto: a presença do "cadeado" na barra de endereço não garante a idoneidade da página que você está visitando. É por isso que existe uma proposta para eliminar o cadeado, evitando assim qualquer confusão a respeito da natureza das páginas certificadas.

Vamos abordar alguns assuntos para entender melhor essa questão.

O que é a Let's Encrypt?

A Let's Encrypt é uma autoridade certificadora (AC), uma das várias organizações escolhidas pelos próprios navegadores de internet para conferir autenticidade aos certificados digitais emitidos para criptografar a comunicação com sites na internet.

Quando você cria uma conta no WhatsApp, por exemplo, você também gera certificados digitais – não há qualquer passo adicional. Mas, na web, não é assim. E, durante muito tempo, os passos para configurar uma página com criptografia eram bem complicados.

Por razões históricas, a comunicação criptografada na web depende desses certificados e as cobranças periódicas (normalmente anuais) dificultavam a ampliação da web criptografada, que abria espaço para diversos ataques de hackers.

A Let's Encrypt não tem fins lucrativos e foi patrocinada por diversas empresas de tecnologia com o intuito de facilitar o acesso aos certificados digitais, automatizando e acelerando o processo de assinatura de certificados digitais com as verificações mínimas e mais importantes para cumprir a finalidade pretendida.

Não seria totalmente incorreto dizer que a Let's Encrypt foi criada como uma "gambiarra" para facilitar a criptografia do tráfego na web, contornando a burocracia dos certificados digitais para focar na vantagem técnica das comunicações mais seguras. Mas hoje já existem outras autoridades certificadoras oferecendo serviços idênticos.

O que um certificado digital garante na web?

Existe mais de um tipo de certificado digital. O mais simples é o chamado "DV" (validação de domínio, na sigla em inglês). A Let's Encrypt, especificamente, trabalha apenas com certificados DV.

Visualização de certificados digitais no Windows explica que o documento garante 'identidade do computador remoto'. Na prática, certificado web dificulta realização de redirecionamentos.

Reprodução

O "DV" garante que o site que você está visitando é operado pela mesma pessoa que detém o controle do domínio (o endereço principal do site). Resumindo: significa que não houve redirecionamento do tráfego no trajeto até o site, desde que o endereço exibido na barra esteja correto.

Também existem certificados "OV" e "EV". Em teoria, esses certificados seriam mais prestigiosos, garantindo uma validação do nome da empresa ou organização responsável pelo site. Infelizmente, como a web é mundial, não é difícil emitir certificados OV e EV com nomes enganosos baseados em pessoas jurídicas registradas em qualquer país. No fim das contas, a informação adicional nesses certificados podia ser, ao mesmo tempo, verdadeira e enganosa.

Sendo assim, todos os certificados são tratados da mesma forma pelos navegadores e, na prática, oferecem o mesmo nível de proteção.

A confusão do 'cadeado'

É muito importante que você não se deixe confundir pelo "cadeado" mostrado pelo navegador web.

Praticamente todas as páginas falsas e clonadas também mostram o cadeado na barra do navegador e isso é considerado normal. Se o endereço não for idêntico ao do site original, mesmo que por uma letra, o golpista não precisa fraudar o certificado digital para colocar o 'cadeado' na barra.

Por essa razão, no "cotidiano" das fraudes da internet, os criminosos não veem motivo para tentar redirecionar páginas legítimas. É mais fácil disparar e-mails falsos com um link direto para o site clonado, com endereço diferente do verdadeiro (ainda que parecido) – e com o cadeado na barra de endereço.

A Let's Encrypt, por oferecer um processo totalmente automatizado para a emissão de certificados, realmente pode ser usada por criminosos nesses casos. Mas eles também podem usar qualquer outra empresa do gênero – a maioria realiza exatamente o mesmo tipo de verificação que a Let's Encrypt.

Também existem casos mais graves – felizmente, também mais raros – em que os hackers conseguem o controle total do domínio de um site. Isso permite que eles solicitem um certificado oficial, em nome do endereço real da página.

Chrome identifica sites sem cadeado como 'não seguros' na barra de endereço. Se isso acontecer, tenha cuidado ao digitar seus dados pessoais e senhas.

Reprodução

É por isso que o Google e outras organizações vêm trabalhando com a ideia de remover o "cadeado" da barra de endereços. A ausência do cadeado pode representar algum risco, especialmente em páginas onde você deve digitar suas informações, mas a presença dele não deve ser um sinal de confiança.

SAIBA MAIS: Por que um antivírus pode 'substituir' as homologações de sites com cadeado?

Como chegamos no cenário atual?

Se existem "autoridades certificadoras" para conferir esses certificados, por que elas não poderiam criar algum método para garantir que apenas sites idôneos tenham o privilégio de contar com essa validação?

Talvez a ideia já tenha sido exatamente essa no passado. No fim da década de 1990, a Microsoft introduziu uma tecnologia chamada ActiveX que permitia até a execução de programas dentro do navegador web. Como a execução de programas traz riscos, a Microsoft impôs uma condição: todos os ActiveX precisariam de um certificado digital.

Infelizmente, essa condição não gerou qualquer obstáculo para os malfeitores. Em certa ocasião, uma empresa chamada "Clique sim para continuar" conseguiu um certificado, por exemplo – violando toda e qualquer expectativa quanto à identificação dos responsáveis. O ActiveX foi abandonado ao longo dos anos.

A história se repetiu com os certificados "EV" para web. Foi possível, por exemplo, registrar um certificado em nome da pessoa jurídica "Identidade Verificada" – outro nome que facilmente pode confundir os usuários. Os navegadores então desistiram de privilegiar a exibição das informações desses certificados.

Confiar nessas verificações de identidade para a emissão de certificados, principalmente no contexto mundial, nunca deu certo. Hoje em dia, as verificações dos certificados privilegiam a propriedade do domínio (endereço) e a comunicação segura oferecida pela criptografia.

Dúvidas sobre segurança digital? Envie um e-mail para [email protected].

Dicas de segurança digital

5 dicas de segurança para sua vida digital

Mais vídeos sobre segurança online