Atualmente, nossos navegadores adicionam esse protocolo automaticamente, no entanto, a maioria dos sites agora usa HTTPS em vez de HTTP.
Por exemplo, dê uma olhada na barra de endereços do seu navegador—o lugar onde está escrito “avance10.com/”. Agora, clique nele duas vezes. Você deve ver um pequeno ícone de cadeado ao lado de “https://” no início da URL.
Esses dois elementos sinalizam que sua conexão com nosso site é criptografada e segura e que suas informações confidenciais, como números de cartão de crédito e detalhes de login, estão protegidas.
Então, qual é a diferença entre HTTP e HTTPS, e por que sites com HTTP substituem aquele pequeno cadeado tranquilizador por uma mensagem “Não seguro”? Vamos descobrir.
O que é HTTP?
HTTP significa Protocolo de Transferência de Hipertexto. É o que permite que navegadores e servidores da Web se comuniquem com a Internet.
Ele funciona enviando solicitações e recebendo respostas. Quando você deseja interagir com uma página da Web, seu navegador envia uma solicitação HTTP. Essa solicitação é enviada ao servidor host, que responde à solicitação HTTP do seu navegador gerando uma resposta HTTP. No entanto, há um grande problema com o HTTP.
Embora o HTTP seja essencial para a navegação, ele não faz nada para impedir que informações pessoais vazem online, pois não possui qualquer forma de criptografia. Isso ocorre porque todos os dados comunicados via HTTP são enviados e recebidos como texto simples, o que significa que podem ser interceptados e lidos por qualquer pessoa que esteja procurando, incluindo criminosos.
Por exemplo, se você fizer login em um site que usa HTTP, é muito fácil para alguém ver seus detalhes de login, pois esses dados não são criptografados.
Assim, enquanto o HTTP costumava ser o padrão, agora está sendo evitado pelos sites porque não é considerado seguro. É aqui que entra o S extra em HTTPS.
O que é HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) é uma versão mais segura do HTTP. Ele usa as mesmas solicitações e sistemas de resposta que o HTTP, mas com a adição de um protocolo de criptografia conhecido como TLS (Transport Layer Security) — o sucessor do protocolo SSL (Secure Sockets Layer).
Essa criptografia de ponta a ponta garante que os dados confidenciais de um usuário — como detalhes bancários, nomes de usuário, senhas ou informações de cartão de crédito — não possam vazar online. Portanto, é essencial que qualquer site que exija detalhes de login use HTTPS.
Para um site obter um certificado HTTPS, ele precisa ser verificado por uma Autoridade de Certificação (CA) . Seu navegador reconhece este certificado na forma de um pequeno cadeado—como visto no exemplo acima. Como regra geral, você pode clicar no ícone ao lado de qualquer endereço da web em seu navegador para obter mais informações sobre seu certificado ou a falta dele.
Como funciona a criptografia HTTPS?
O TLS usa criptografia de chave pública para proteger a comunicação entre seu navegador e o servidor host. Existem duas chaves – uma chave pública e uma chave privada:
Chave pública: como o próprio nome indica, essa chave está disponível para qualquer pessoa que interaja com o servidor que hospeda o site que você está tentando acessar. A chave pública criptografa informações sobre suas interações com o site — informações que somente a chave privada pode descriptografar.
Chave privada: esta chave é controlada pelo proprietário do site que você está tentando acessar e reside em seu servidor. Ele é mantido privado e usado para descriptografar as informações criptografadas pela chave pública.
Antes que a transferência de dados ocorra, seu navegador e o servidor host precisam executar um handshake SSL/TLS. Este handshake é necessário para estabelecer uma conexão segura.
Diferenças entre HTTP e HTTPS
Segurança
HTTPS é muito mais seguro que HTTP. Este último não criptografa a conexão entre seu navegador e o servidor host. Toda vez que você interage com uma página da Web usando HTTP, sua atividade pode ser vista por qualquer pessoa interessada em coletar essas informações, incluindo hackers e seu provedor de serviços de Internet.
Velocidade
Embora a criptografia do HTTPS o torne um pouco mais lento que o HTTP, o conteúdo em sites HTTPS provavelmente carregará mais rápido do que o mesmo conteúdo em HTTP. Uma razão (entre várias) é com HTTP, a página carrega um elemento por vez, enquanto vários elementos podem ser carregados ao mesmo tempo por HTTPS.
Uso
O HTTP foi praticamente extinto na Internet, embora ainda possa ser encontrado em pequenos blogs e até em lojas online.
Autoridade
O HTTPS tem uma boa reputação e é ótimo para criar confiança e credibilidade com os visitantes do site. O pequeno cadeado que acompanha os sites HTTPS permite que os usuários saibam que estão navegando em uma página que protege suas informações pessoais.
Por outro lado, os usuários evitarão sites HTTP, especialmente porque navegadores como Chrome e Firefox os avisam que esses sites não são seguros. Essa mensagem de aviso leva as pessoas a deixar esses sites, mesmo que não saibam nada sobre criptografia.
SEO
Para aqueles que administram sites, o HTTPS vence quando se trata de SEO (otimização para mecanismos de pesquisa). O Google recompensa os sites que usam HTTPS com um aumento nas classificações em seu mecanismo de pesquisa. Essa mensagem (ou aviso) “Não seguro” que o Google Chrome coloca em sites HTTP é uma maneira infalível de fazer as pessoas fugirem do seu site.
Perguntas frequentes: sobre HTTP e HTTPS
HTTPS pode ser hackeado?
Sim. Embora o HTTPS aprimore a segurança dos sites, ele não os protege totalmente de serem invadidos. Existem outras vulnerabilidades que os hackers podem explorar, por isso é importante saber que o HTTPS é apenas uma linha de defesa quando se trata de segurança de sites. Mesmo com HTTPS, existe o risco de ataques de manipulação intermediária e de downgrade, como nos casos em que os invasores enganam seu navegador para se conectar ao terminal errado ou reverter para HTTP. Esses são motivos para usar uma VPN mesmo ao visitar sites HTTPS.
Os sites de phishing usam HTTPS?
Os sites de phishing vêm em todas as formas e podem muito bem usar HTTPS. Eles aproveitam a autoridade e a confiança que https:// e seu cadeado trazem para acalmar as pessoas com uma falsa sensação de segurança. Eles acham que o site é seguro e legítimo, enquanto, na verdade, é apenas um site de phishing tentando roubar suas informações. Embora um certificado HTTPS garanta que ninguém mais possa ver o que você está fazendo enquanto estiver no site, seus detalhes ainda podem ser roubados pelo próprio site, se for malicioso.
Um invasor pode interceptar o tráfego HTTPS?
Sim. HTTPS é apenas uma maneira de aumentar sua segurança, mas ainda há riscos. Algumas das maneiras pelas quais seu tráfego pode ser interceptado mesmo com HTTPS são por meio de malware em seu dispositivo ou por meio de regras de firewall em um site que redireciona o tráfego de rede para o hacker.
