SSL/TLS e HTTPS

Quando você digita uma senha num site, o que acontece com esse dado entre o seu navegador e o servidor? Antes da criptografia de transporte se tornar padrão, a resposta era simples e alarmante: os dados trafegavam em texto puro, legíveis por qualquer um com acesso à rede entre os dois pontos. Um atacante na mesma rede Wi-Fi de um café podia interceptar credenciais de login sem qualquer sofisticação técnica especial.

SSL/TLS é o protocolo que criptografa esse tráfego. HTTPS é HTTP com TLS — o mesmo protocolo web, mas com a camada de segurança de transporte. O cadeado no navegador indica que a conexão está criptografada e que o certificado do servidor foi validado por autoridade confiável.

Hoje, HTTPS não é mais diferencial de segurança para sites que lidam com dados sensíveis — é o padrão mínimo para qualquer site. Google penaliza sites HTTP no ranking de busca. Navegadores marcam sites HTTP como "não seguros". Serviços de hospedagem modernos oferecem certificados TLS gratuitos e automáticos. Não ter HTTPS é escolha difícil de justificar.

TLS protege a comunicação através de dois mecanismos combinados: autenticação (garantir que você está falando com o servidor correto, não com um impostor) e criptografia (garantir que o conteúdo da comunicação não pode ser lido por terceiros).

O processo começa com o TLS handshake — a negociação inicial entre cliente (navegador) e servidor:

1. Apresentação: o cliente anuncia quais versões de TLS e algoritmos criptográficos suporta.

2. Certificado: o servidor apresenta seu certificado digital — documento emitido por uma Autoridade Certificadora (CA) que atesta que aquele servidor é genuinamente quem diz ser. O navegador verifica se o certificado é válido, não expirado e emitido por CA de confiança.

3. Troca de chaves: usando criptografia assimétrica (par de chaves pública/privada), cliente e servidor estabelecem uma chave de sessão compartilhada sem transmiti-la pela rede.

4. Comunicação criptografada: com a chave de sessão estabelecida, toda a comunicação subsequente é criptografada com criptografia simétrica (mais rápida que assimétrica). Um atacante que interceptar o tráfego vê apenas dados cifrados sem valor.

O elo mais importante é a autenticação: como o navegador sabe que o certificado apresentado pelo servidor é legítimo e não foi forjado?

A resposta é a cadeia de confiança. Autoridades Certificadoras (CAs) — organizações como DigiCert, Sectigo, Let's Encrypt — são entidades cujas chaves raiz estão pré-instaladas como confiáveis em todos os sistemas operacionais e navegadores. Quando uma CA emite um certificado para um domínio, ela está afirmando que verificou que o requerente controla aquele domínio. O navegador confia na CA; a CA confiou no servidor; portanto o navegador confia no servidor.

Tipos de certificado por nível de validação:

DV (Domain Validation): valida apenas que o requerente controla o domínio. Processo automatizado, emitido em minutos. É o tipo oferecido por Let's Encrypt gratuitamente. Adequado para a maioria dos sites.

OV (Organization Validation): valida o domínio e informações básicas da organização. A CA verifica que a empresa existe e está associada ao domínio. Processo manual, leva dias.

EV (Extended Validation): validação rigorosa da identidade legal da organização. Historicamente mostrava o nome da empresa na barra de endereços do navegador — navegadores modernos removeram essa indicação visual, tornando EV menos diferenciado.

Wildcard: cobre o domínio e todos os subdomínios de um nível (*.empresa.com.br). Conveniente para organizações com muitos subdomínios.

Antes de 2016, obter um certificado TLS custava dezenas a centenas de dólares por ano e exigia processo manual. Isso criava barreira que mantinha muitos sites em HTTP.

Let's Encrypt — autoridade certificadora gratuita, automatizada e aberta, criada pela Linux Foundation com apoio de Mozilla, Cisco e outros — mudou esse cenário. Certificados gratuitos, renovação automática (a cada 90 dias via protocolo ACME), sem processo manual. Em poucos anos, a adoção de HTTPS no tráfego web global saltou de ~40% para mais de 95%.

Hoje, qualquer serviço de hospedagem moderno — Vercel, Netlify, Cloudflare, AWS, plataformas de e-commerce — oferece certificados TLS via Let's Encrypt automaticamente. Não há motivo técnico ou financeiro para novo site não ter HTTPS desde o primeiro dia.

SSL (Secure Sockets Layer) foi o protocolo original. SSL 2.0 e 3.0 têm vulnerabilidades conhecidas e foram descontinuados. O nome "SSL" persiste no uso cotidiano como sinônimo de criptografia de transporte, mas o protocolo em uso é TLS.

TLS 1.0 e 1.1 foram descontinuados pela maioria dos navegadores em 2020. Têm vulnerabilidades conhecidas (BEAST, POODLE). Servidores que ainda aceitam TLS 1.0/1.1 falham em auditorias de segurança.

TLS 1.2 é o mínimo aceitável atualmente. Seguro quando configurado corretamente, mas com ciphers mais fracos disponíveis que precisam ser desabilitados.

TLS 1.3 é o padrão atual. Handshake mais rápido (menos roundtrips), ciphers modernos apenas (sem opção de ciphers fracos), forward secrecy obrigatório. Suportado por todos os navegadores modernos e a maioria dos servidores.

HTTPS é infraestrutura básica de qualquer presença digital — não é decisão, é requisito. Para organizações que ainda operam sistemas internos ou externos em HTTP, a migração para HTTPS deve ser prioridade imediata tanto por segurança quanto por SEO e experiência do usuário.

O que ainda exige atenção além de ter certificado: garantir que o servidor está configurado para TLS 1.2 mínimo (preferencialmente 1.3), que certificados expirados são renovados antes do vencimento (automação via Let's Encrypt resolve isso), e que o tráfego HTTP é redirecionado para HTTPS — não apenas aceito em paralelo.

Para organizações que desenvolvem ou operam APIs internas entre sistemas, TLS é igualmente obrigatório — não apenas para o tráfego de usuário. Comunicação entre serviços internos sem criptografia de transporte é superfície de ataque desnecessária que Zero Trust e boas práticas de segurança eliminam por padrão.