1️⃣ O certificado do website identifica efetivamente a organização, ou apenas cifra a ligação?
O cadeado no browser não é, por si só, uma prova de confiança. É apenas o sinal visível de que a ligação está cifrada. A verdadeira questão é outra: quem está do outro lado dessa ligação?
Muitas organizações vivem sob a falsa segurança de que um cadeado no browser é o selo definitivo de confiança digital. Não é.
O cadeado indica, em termos simples, que existe uma ligação cifrada entre o browser do utilizador e o servidor do site. Mas a cifragem responde apenas a uma parte do problema: protege o canal de comunicação.
Com quem estão os seus clientes a comunicar?
Na economia digital moderna, a segurança da ligação deixou de ser suficiente. O utilizador não precisa apenas de saber que a comunicação está cifrada — precisa de saber se está a comunicar com uma entidade real, identificada, verificada e juridicamente reconhecível.
Um site pode ter HTTPS, pode apresentar o cadeado, pode utilizar algoritmos criptográficos robustos e, ainda assim, não identificar verdadeiramente a organização que está por trás do domínio. Pode ser um site legítimo — mas também pode ser uma página de phishing, uma cópia visualmente convincente, ou uma infraestrutura criada apenas para induzir o utilizador em erro.
A progressão dos quatro níveis
Existe uma hierarquia clara de confiança na autenticação de websites. A diferença entre os níveis não está, necessariamente, no algoritmo de cifragem — está naquilo que foi validado antes da emissão do certificado.
O problema central: cifragem não é identidade
Um certificado TLS/SSL cumpre duas funções que são frequentemente confundidas: proteger a comunicação (cifrar a ligação) e autenticar o endpoint (associar o domínio a uma identidade verificada).
Num certificado DV, a autenticação é domínio-cêntrica. Num certificado OV ou EV, passa a ser também entidade-cêntrica. Esta distinção é decisiva — porque, no mundo digital, a fraude raramente começa por quebrar a criptografia. Começa por explorar a confiança visual do utilizador.
| Função | O que significa |
|---|---|
| Proteger a comunicação | Cifrar a ligação entre o utilizador e o servidor |
| Autenticar o endpoint | Associar o domínio a uma identidade verificada |
O salto para o nível europeu: o QWAC
O QWAC não substitui a necessidade de boa cibersegurança. Um site com QWAC pode continuar vulnerável se for mal gerido. Mas o QWAC responde a uma questão específica e crítica: a identidade da entidade titular foi verificada no quadro europeu dos serviços de confiança qualificados?
O papel das normas ETSI
O QWAC é suportado por normas técnicas que ligam três dimensões: a identidade da entidade, o perfil técnico do certificado e os requisitos aplicáveis ao prestador.
| Norma | Relevância |
|---|---|
| ETSI EN 319 411-1 | Requisitos gerais de política e segurança para prestadores que emitem certificados |
| ETSI EN 319 412-3 | Perfis de certificados emitidos a pessoas coletivas |
| ETSI EN 319 412-4 | Perfil de certificados para websites acedidos por TLS |
O futuro com eIDAS 2.0 e os browsers
Um dos grandes problemas dos últimos anos foi a redução dos indicadores visuais de identidade nos browsers. A indústria continuou a distinguir entre DV, OV e EV, mas o utilizador comum deixou de perceber essa diferença — um site com DV e um com EV pareciam quase iguais na barra de endereço.
O artigo 45.º do eIDAS 2.0 procura corrigir esta fragilidade: os fornecedores de browsers serão obrigados a reconhecer os QWACs e a apresentar os dados de identidade ao utilizador de forma clara e amigável. A identidade institucional volta a ganhar centralidade — num contexto de crescimento de phishing, impersonation e domínios falsos.
As perguntas que devem ser feitas internamente
A resposta a estas perguntas deve orientar a escolha. Nem todos os websites têm o mesmo risco — e nem todas as organizações têm as mesmas necessidades de confiança.
A confiança digital não é um acidente técnico.
É uma decisão estratégica.
SSL/TLS ID Checker
Deixe um comentário