Se você está vendo esta mensagem, significa que estamos tendo problemas para carregar recursos externos em nosso website.

If you're behind a web filter, please make sure that the domains *.kastatic.org and *.kasandbox.org are unblocked.

Conteúdo principal

Certificados digitais

O protocolo TLS se baseia em criptografia de chave pública. O computador remetente usa a chave pública do computador destinatário ao criptografar as informações. Antes disso, contudo, o TLS requer uma etapa crucial para sua segurança: o remetente deve verificar a identidade por trás da chave pública.
Um certificado digital, também conhecido como certificado de chave pública ou certificado de identidade, prova a propriedade de uma chave de criptografia.

A necessidade de certificados

O que aconteceria se o TLS não incluísse uma etapa de verificação de certificado?
Criminosos poderiam descobrir maneiras de interceptar uma solicitação de um computador para outro computador na internet, como por meio de pontos de acesso desonestos.
A partir daí, seria possível lançar um ataque man-in-the-middle (MITM), que em tradução livre significa "homem no caminho". Embora esse tipo de ataque seja chamado de "homem" no caminho, criminosos podem ter qualquer idade ou ser de qualquer gênero. Você também pode pensar no ataque como um ataque "masquerader in the middle" ("farsante no caminho").
Primeiramente, durante o processo de estabelecimento de uma conexão segura com TLS, um criminoso enviaria ao cliente sua própria chave pública em vez da chave pública do servidor.
Depois disso, sempre que o cliente criptografasse informações com a chave pública recebida, ele na verdade criptografaria com a chave pública do criminoso. O criminoso poderia, então, descriptografar a mensagem criptografada, alterá-la da forma que quisesse e criptografá-la novamente com a chave pública do servidor antes de enviar as informações para ele.
Para evitar um ataque MITM, o cliente precisa verificar a identidade por trás de uma chave pública; e um certificado digital mostra a identidade por trás de uma chave pública. Mas, se qualquer um pode criar um certificado digital, como um cliente pode confiar em sua legitimidade? No TLS, os clientes acreditam em um certificado digital se ele tiver sido gerado por instituições conhecidas como autoridades de certificação.

Autoridades de certificação

Um servidor que quer se comunicar de forma segura por TLS se registra em uma autoridade de certificação. A autoridade de certificação verifica a propriedade do domínio, assina o certificado com seu próprio nome e chave pública, e devolve o certificado assinado para o servidor.
Quando o cliente inspeciona o certificado, ele pode ver que uma autoridade de certificação está atestando a autenticidade da chave pública. Mas ainda há uma decisão a ser tomada: ele confia nessa autoridade de certificação?
Os clientes geralmente têm uma lista de autoridades de certificação confiáveis. Por exemplo, um iPhone da Apple com o sistema operacional iOS 10 confia nesta lista de autoridades de certificação.
Os usuários da Apple devem confiar na empresa para monitorar continuamente essa lista e garantir que cada autoridade de certificação esteja verificando os domínios adequadamente.
Imagine uma cadeia de confiança do usuário até o servidor:
A confiança pode ser quebrada em qualquer um dos pontos. Se o usuário não confiar no cliente, ele poderá desconsiderar sua lista padrão de autoridades de certificação confiáveis. Se um cliente não confiar mais em uma autoridade de certificação, ele a removerá de sua lista. Se uma autoridade de certificação perceber um comportamento suspeito vindo de um servidor, ela poderá revogar seu certificado.

Autoridades de certificação intermediárias

Na verdade, há diversos níveis de autoridades de certificação: a autoridade de certificação raiz e a autoridade de certificação intermediária.
A autoridade de certificação raiz, na realidade, não emite nenhum certificado digital diretamente para os servidores. Ela só emite certificados digitais para autoridades de certificação intermediárias que agem em seu nome. As autoridades de certificação intermediárias podem emitir certificados digitais para outra autoridade de certificação intermediária ou diretamente para um servidor.
Assim, há outra cadeia de confiança, que vai da autoridade de certificação raiz até o servidor:
As camadas das autoridades de certificação aumentam a segurança do sistema. Se uma autoridade de certificação raiz descobre que uma autoridade de certificação intermediária foi comprometida por um criminoso, ela invalida os certificados dessa autoridade de certificação, mas continua a confiar nos certificados de suas outras autoridades de certificação intermediárias.
🔍 É possível ver a cadeia de confiança ao verificar o certificado de um site seguro no navegador. Ao clicar no cadeado próximo à URL, o navegador deve oferecer uma forma de inspeção dos certificados.
A cadeia de confiança da KhanAcademy.org inclui uma autoridade de certificação intermediária.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Você tem alguma dúvida sobre esse assunto? Adoraríamos respondê-la. Basta enviar sua pergunta na área de dúvidas abaixo!

Quer participar da conversa?

Você entende inglês? Clique aqui para ver mais debates na versão em inglês do site da Khan Academy.