O comércio eletrônico floresceu devido à capacidade de realizar transações seguras online usando as ferramentas adequadas. Essas ferramentas são criptografia de chave pública e certificados digitais.

A criptografia de chave pública usa SSL (Secure Sockets Layer) para criptografar todos os dados entre o computador do cliente e o site de comércio eletrônico. As informações são enviadas de forma criptografada para o site usando a chave pública do site. Ao receber as informações, o site usa sua chave privada para descriptografar as informações. Isso é chamado de par de chaves . Os intrusos que podem capturar dados no caminho acharão ilegíveis.

O problema, porém, é que qualquer pessoa pode criar um site e um par de chaves usando um nome que não lhes pertence. É aqui que entram os certificados digitais. Os certificados digitais são cartões de identificação confiáveis ​​em formato eletrônico que vinculam a chave de criptografia pública de um site à sua identidade para fins de confiança pública.

Os certificados digitais são emitidos por um terceiro independente, reconhecido e de confiança mútua, que garante que o site em operação seja quem ele afirma ser. Esse terceiro é conhecido como autoridade de certificação (CA) . Sem certificados digitais, o público tem pouca garantia quanto à legitimidade de qualquer site específico.

Um certificado digital contém o nome, endereço, número de série, chave pública, data de validade e assinatura digital de uma entidade, entre outras informações. Quando um navegador da Web como Firefox, Netscape ou Internet Explorer faz uma conexão segura, o certificado digital é automaticamente revisto. O navegador verifica se há anomalias ou problemas e exibe um alerta, se houver algum. Quando os certificados digitais estão em ordem, o navegador conclui as conexões seguras sem interrupção.

Embora raro, houve casos de golpes de phishing duplicando um site e 'seqüestrando' o certificado digital do site para enganar os clientes a fornecer informações pessoais. Esses golpes envolviam o redirecionamento do cliente para o site real para autenticação e, em seguida, trazê-los de volta ao site enganado. Outros golpes de phishing usam certificados digitais autoassinados para descartar completamente a terceira parte ou autoridade de certificação confiável. O emissor do certificado digital e o assinante são os mesmos. Um navegador alertará nesse caso, mas a maioria dos usuários clicará de qualquer maneira, sem entender a diferença.

Os certificados digitais desempenham um papel essencial para manter o comércio online seguro. Se o seu navegador alertá-lo para um problema com um certificado digital, é recomendável não clicar. Em vez disso, ligue para a empresa usando um número de telefone de seus extratos ou lista telefônica e informe-se sobre o problema.

Nem todas as autoridades de certificação são iguais. Algumas autoridades de certificação são mais recentes e menos conhecidas. Dois exemplos de CAs altamente confiáveis ​​são o VeriSign e o Thawte. Se o seu navegador não reconhecer uma Autoridade de Certificação, ele o alertará.