Introdução à SSL

A SSL (Secure Sockets Layers, que poderia traduzir-se por camada de sockets protegida) é um método de segurança das transacções efectuadas via Internet. O standard SSL foi criado pela Netscape, em colaboração com a Mastercard, Bank of América, MCI e Silicon Graphics. Assenta num método de criptografia por chave pública a fim de garantir a segurança da transmissão de dados na Internet. O seu princípio consiste em estabelecer um canal de comunicação protegido (codificado) entre duas máquinas (um cliente e um servidor) após uma etapa de autenticação.

O sistema SSL é independente do protocolo utilizado, o que significa que pode igualmente proteger transacções feitas na Web pelo protocolo HTTP ou ligações via o protocolo FTP, POP ou IMAP. Com efeito, o SSL age como uma camada suplementar, permitindo assegurar a segurança dos dados, situada entre a camada aplicação e a camada transporte (protocolo TCPpor exemplo).

Desta maneira, o SSL é transparente para o utilizador (isto é, ele pode ignorar que utiliza o SSL). Por exemplo, um utilizador que utiliza um navegador Internet para se ligar a um site de comércio electrónico protegido por SSL enviará dados codificados sem nenhuma manipulação necessária da sua parte.
A quase integralidade dos navegadores suporta doravante o protocolo SSL. O Netscape Navigator afixa, por exemplo, um cadeado fechado para indicar a conexão a um site protegido por SSL e um cadeado aberto no caso contrário, enquanto o Microsoft Internet Explorer afixa um cadeado unicamente aquando da conexão a um site protegido por SSL.

no Internet Explorer	no Mozilla

Um servidor web protegido por SSL possui uma URL que começa por https://, onde o“s” significa obviamente secured (protegido).

Em meados de 2001, a patente de SSL que pertencia até então à Netscape, foi comprada pelo IETF (Internet Engineering Task Force) e rebaptizada para a ocasião de TLS (Transport Layer Security).

Funcionamento de SSL 2.0

A segurança das transacções por SSL 2.0 baseia-se numa troca de chaves entre cliente e servidor. A transacção protegida por SSL faz-se de acordo com o modelo seguinte:

• Inicialmente, o cliente conecta-se ao site comercial protegido por SSL e pede-lhe que se autentique. O cliente envia igualmente a lista dos criptosistemas que suporta, organizados por ordem decrescente de acordo com o comprimento das chaves.
• O servidor, quando recebe o pedido, envia um certificado ao cliente, contendo a chave pública do servidor, assinado por uma autoridade de certificação (CA), bem como o nome do criptosistema o mais elevado possível na lista com o qual é compatível (o comprimento da chave de codificação - 40 bits ou 128 bits - será o do criptosistema comum que tiver a maior dimensão de chave).

• O cliente verifica a validade do certificado (e, por conseguinte, a autenticidade do comerciante), seguidamente cria uma chave secreta aleatória (mais exactamente um bloco supostamente aleatório), calcula esta chave com a ajuda da chave pública do servidor, seguidamente envia-lhe o resultado (a chave de sessão).
• O servidor está em condições de decifrar a chave de sessão com a sua chave privada. Assim, as duas entidades estão na posse de uma chave comum da qual são os únicos conhecedores. O resto das transacções pode fazer-se com a ajuda da chave de sessão, garantindo a integridade e a confidencialidade dos dados trocados.

SSL 3.0

O SSL 3.0 visa autenticar o servidor no que diz respeito ao cliente e eventualmente o cliente no que diz respeito ao servidor.

Mais informação

• The TLS Protocol Version 1.0