Como vimos, a matemática e a tecnologia atual já fornecem elementos suficientes para proteger e autenticar a comunicação trocada a distância. Mas ainda restou um problema: como garantir que a chave pública ou a assinatura digital em nome de "João da Silva" é realmente dele e não de uma outra pessoa com o mesmo nome, ou pior, de um impostor se fazendo passar por ele? E como garantir que o site no qual estamos fazendo compras online ou transferindo dinheiro é mesmo da loja ou do banco que imaginamos ser e não um clone feito por algum golpista? Para isso, foram criados os certificados digitais.

A noção de certificado é intuitiva para nós, pois estamos acostumados a lidar com eles no mundo físico. Um certificado é qualquer documento que atesta que uma pessoa física ou jurídica é quem diz ser, ou está apta a fazer aquilo a que se propõe. A carteira de identidade, a carteira de motorista, o diploma universitário e outros documentos do gênero são certificados. Outra característica dos certificados é que eles são emitidos pelo governo ou por entidades, públicas ou privadas, nas quais confiamos. Caso contrário, de nada serviriam. Muitos desses certificados também possuem uma data de validade, depois da qual eles expiram e precisam ser renovados.

Com os certificados digitais, ocorre a mesma coisa. Foi montada uma estrutura chamada PKI (Public Key Infrastructure ou Infra-estrutura de Chave Pública) composta de empresas certificadoras. Elas são chamadas de Autoridades Certificadoras (AC ou CA, na sigla em inglês) e servem para atestar que uma determinada chave pública pertence a uma determinada pessoa, física ou jurídica. Para isso, a pessoa ou empresa deve passar por um processo de identificação corriqueiro, com documentos de papel comuns do mundo físico. Assim, um certificado digital liga uma chave pública digital a uma identidade real, certificada pela AC.

Na Internet, uma das principais aplicações dos certificados digitais é atestar que um site realmente pertence a uma empresa. Saber se você está no site correto e não num site impostor é fundamental em algumas situações. Por exemplo, antes de digitar sua senha bancária. Mesmo que o site se pareça com o do seu banco, só o que vai garantir isso é o certificado digital que o seu navegador poderá acessar. Acostume-se a observar os certificados dos sites.

Certificados digitais no site do HSBC

No caso do HSBC, todas as transações online que envolvam a digitação e a transmissão de dados críticos, como senhas e transferências monetárias, são feitas em páginas certificadas digitalmente. A Autoridade Certificadora do HSBC é a VeriSign, uma das maiores empresas de certificação digital do mundo.

Além disso, nestas páginas a transmissão dos dados entre o seu computador e os servidores do HSBC também é protegida pelo protocolo SSL, sigla para Secure Sockets Layer. Este é o nome de um protocolo, ou seja, de um padrão, criado pela empresa Netscape, que possibilita que um conjunto de programas cliente-servidor troque informações criptografadas entre si. Tipicamente, esta comunicação ocorre entre o seu browser ou navegador, que funciona como programa cliente, e o computador do site ao qual ele está conectado, que funciona como o servidor.

Todos os bons navegadores modernos já vêm programados para reconhecer a chave pública e demais informações presentes no certificado digital de um site, emitido por uma AC reconhecida internacionalmente. Os browsers analisam as informações contidas nos certificados e dão o resultado ao usuário. Assim, quando você abre um certificado digital de um site, poderá saber se ele é válido ou não, por quem ele foi emitido, se ele foi emitido para aquele mesmo endereço que você está visitando, até quando ele vale, e outras informações técnicas, como a representação da chave pública do titular, que tipo de algoritmo criptográfico está sendo aplicado na comunicação, número de série do certificado registrado no banco de dados da AC, hash do certificado e outras.

Mas como ter certeza de que as informações que você está vendo na tela, junto ao certificado, não foram forjadas por algum golpista? Simples: se um único caracter do certificado fosse ilegítimo, o seu browser detectaria e o avisaria. Afinal, é para garantir a autenticidade até de detalhes mínimos que foram desenvolvidos complexos algoritmos criptográficos. Veja abaixo um aviso típico exibido pelo navegador Internet Explorer quando o certificado foi emitido para um site cujo endereço não corresponde ao do site que você está tentando acessar: