HTTP e HTTPS: descubra as diferenças
Quando navegamos pela Web estamos constantemente a enviar e a receber pedidos (mensagens) de e para servidores que alojam os sites a que tentamos aceder. Quando o servidor recebe um pedido por parte do browser do cliente, posteriormente envia um “estado” e uma mensagem que pode conter a informação que foi pedida ou simplesmente uma mensagem de erro de que não é possível aceder ao recurso solicitado.
HTTP (Hypertext Transfer Protocol) é um protocolo utilizado para transmitir e receber informação através da Internet. É utilizado para que a informação possa ser trocada entre servidores de forma rápida e fácil. Mas, no que diz respeito a privacidade online, um “S” faz toda a diferença.
HTTPS existe para garantir que o site a que acedemos é seguro e autêntico, protegendo a privacidade e a integridade da informação trocada entre o servidor e o cliente.
O HTTPS é igual ao HTTP só que usa certificados para proteger as comunicações entre o servidor e cliente e vice-versa. Ambos usam URI (Uniform Resource Identifier) para que os recursos espalhados pela Web possam ser identificados em qualquer parte (num respetivo servidor).
Como é que tudo funciona?
Na prática a troca de informação entre o cliente e o servidor passa por um sistema cifrado (garantido pelos certificados digitais), onde mais ninguém tem acesso à informação para além do cliente e do servidor.
Assim, existem dois tipos de camadas de encriptação bastante comuns por onde a informação passa antes de chegar ao servidor ou ao cliente: Transport Layer Security (TLS) e Secure Sockets Layer (SSL). Ambos cifram a informação a ser transmitida.
Quando se usa HTTPS, o servidor responde a uma tentativa de ligação inicial, onde oferece ao cliente uma lista de métodos de encriptação que suporta. Em resposta, o cliente seleciona o método de ligação e realiza-se uma troca de certificados, cujo objetivo é verificar a autenticidade e identidade do servidor e do cliente. Depois deste processo estar concluído, realiza-se a troca de informação após estar assegurado que ambos estão a usar a mesma chave e por fim a comunicação é “fechada”.
HTTPS é importante...
Por questões óbvias de segurança e não só, cada vez mais se disponibilizam sites via HTTPS como são o caso dos sites de bancos e empresas, e noutras situações em que é necessário proteger a privacidade de um indivíduo, a integridade e confidencialidade da informação trocada entre o cliente e o servidor. Além disso, ajuda a prevenir ataques “man-in-the-middle” desde que a chave trocada entre o servidor e o cliente tenha sido verificada e seja "segura".
Em criptografia, “man-in-the-middle” é um ataque em que o atacante é capaz de alterar a comunicação entre duas entidades realizando ligações independentes onde a troca de mensagens é controlada pelo atacante. É ainda capaz de intercetar mensagens relevantes entre as duas vítimas ou injetar novas. HTTPS é ainda mais importante quando se acedem a pontos de acesso Wi-Fi públicos, onde desconhecemos quem está a controlar ou a monitorizar o tráfego de dados.
Proteja-se com HTTPS
E sem um site que pretende aceder não estar disponível via HTTPS? Para resolver este problema e outros existe uma extensão muito famosa desenvolvida pela EFF (Eletronic Fronteir Foundation) em colaboração com o projeto TOR chamada HTTPS Everywhere, e que é recomendada por Edward Snowden. Esta extensão usa tecnologia inteligente que assegura o uso de conexões cifradas e bloqueia as que não estejam.
Conclusão
Infelizmente, quando navegamos pela Web estamos constantemente expostos a vários perigos que nem sempre cabe a nós, utilizadores, controlar. No entanto, podemos estar atentos e usar as ferramentas certas que nos permitem ter maior controlo sobre os acontecimentos.
À medida que mais dados são revelados acerca de vigilância em massa e criminosos roubam informação, o uso de HTTPS em todos os sites torna-se vital, independentemente dos sites que visitamos. O mesmo se passa com os metadados recolhidos por algumas páginas que visitamos... quando estes dados são agrupados podem revelar muito sobre um utilizador e comprometer a sua privacidade.
Leia também...
Este artigo tem mais de um ano
Excelente post, até porque estou exatamente durante esta semana a passar um dos meus sites para SSL 🙂
Muito Obrigado!
Gostava só de deixar a dica que ssl não deve ser usado por n ser seguro. Aliás mesmo tls só a partir da versão 1.2. De resto para todos os websites deviam correr em https exclusivamente. Hoje em dia é grátis por exemplo com letsencrypt
O Chrome começará dentro em breve a assinalar todas as paginas servidas por http com o aviso non-secure. Alias, até ao final do ano, muitos sites começarão a perder visitantes devido a esta implementação.
Hoje existem varios metodos para se conseguir ter o seu proprio site servido por SSL. Por exemplo o uso da Cloudflare, ou Let’s encrypt via certbot.
Eu escrivi um tutorial muito simples sobre cloudlare. Quem quiser visite: https://tektuts.com/how-to-setup-a-secure-connection-on-your-blog-with-ssl-and-tls-for-free/
Para quem quiser, escrevi ainda um novo artigo como instalar um certificado SSL com Let’s Encrypt usando o Certbot, para stacks LAMP e LEMP.
Para acompanhar…