Todos os usuários procuram e contam com uma experiência online segura. Quer estejam comprando um novo par de sapatos ou transferindo dinheiro para uma nova conta bancária, a segurança é a prioridade. Mas como você pode saber se um site é seguro e qual é a diferença entre sites com “http://” e “https://” em seu URL?
Mesmo se você tentar manter-se anônimo online ou variar seu senhas, navegar em sites desprotegidos pode ser perigoso. Saber o que é HTTPS e como ele funciona pode aumentar a segurança de qualquer experiência de navegação.
Se você já se perguntou “O que é HTTPS? ” e “O que mantém você seguro enquanto navega na Internet?” este guia é para você.
O que é HTTPS?
HTTPS, ou Hypertext Transfer Protocol Secure, é o protocolo seguro que ajuda a mover os dados entre navegadores da Web e sites. Enquanto o HTTP transfere dados não criptografados, o HTTPS criptografa informações para aumentar a segurança de dados confidenciais, como senhas e informações de contas bancárias.
Para criptografar esses dados, o HTTPS usa o Transport Layer Security (TLS) — anteriormente conhecido como Secure Sockets Layer (SSL). Ele começa usando dois tipos de chaves para criptografar informações, conhecidas como infraestrutura de chave pública assimétrica.
Chave pública: Essa chave permite que qualquer pessoa criptografe mensagens. Essa criptografia só pode ser desbloqueada por uma chave privada secundária. Chave privada: Esta chave é controlada privadamente pelo proprietário do site. Como essa chave pode desbloquear informações de chave pública, ela é mantida no servidor da Web para ajudar na descriptografia pública.
As informações transferidas usando HTTP são suscetíveis a ataques, incluindo ataques man-in-the-middle. Após o handshake TSL/SSL inicial, o HTTPS começa a usar criptografia simétrica para transmitir e proteger dados com segurança desses tipos de ataques. Ao criptografar a comunicação transmitida, o HTTPS ajuda a criar links mais seguros para uma experiência de navegação mais segura.
HTTP vs. HTTPS
Simplificando, HTTPS é o protocolo HTTP com certificado TSL/SSL. Então, se eles não usam sistemas de protocolo diferentes, o que é a diferença entre HTTP e HTTPS? Na superfície, eles não parecem tão diferentes, mas o HTTPS é significativamente mais seguro para transferências de dados.
Para o protocolo HTTP original, HTTPS acrescenta:
Criptografia: Em vez de enviar dados de texto simples por uma porta, o HTTPS usa criptografia para ocultar informações privadas de terceiros. Isso ocorre quando navegadores, servidores da web ou sites compartilham uma chave secreta.Autenticação:
Cada certificado TSL/SSL inclui uma chave pública. O navegador da web pode usar essa chave para provar que os dados transmitidos são de propriedade de alguém com a chave privada correspondente.
Integridade: Cada documento enviado para um servidor correspondente via HTTPS é assinado digitalmente. Os navegadores podem usar essa assinatura para determinar se um documento foi corrompido durante o trânsito. Se a integridade do documento estiver intacta, ele poderá ser aberto, visualizado ou transportado novamente.
Como funciona?
HTTPS usa automaticamente a porta 443 para qualquer tipo de transferência de dados. Embora a porta padrão para HTTP seja a porta 80, a porta 443 também pode suportar conexões HTTP. No entanto, as etapas de cada transferência HTTPS segura devem usar a porta 443.
- Passo 1: O navegador e o servidor do cliente trocam mensagens introdutórias, conhecidas como handshake TSL/SSL.
Etapa 2:
- Usando uma infraestrutura de chave pública assimétrica, os padrões de criptografia são comunicados.
- Etapa 3: O certificado do servidor é compartilhado com o navegador.
-
- Etapa 4: O cliente verifica o certificado e verifica se ele é válido.
Etapa 5: Uma chave pública é usada para criar uma chave secreta.Etapa 6:
-
- A chave pública criptografa a chave secreta recém-criada. Esses dados criptografados são compartilhados com o servidor.
Etapa 7: Tanto o cliente quanto o servidor criam uma chave simétrica com base na chave secreta.
- Etapa 8: Esta chave simétrica é usada para criptografar e descriptografar dados de entrada e saída entre o cliente e o servidor.
Neste modelo, o handshake TSL/SSL e o certificado do servidor ajudam a garantir a segurança das transferências de dados pela porta HTTPS.
Por que usar HTTPS?
Pode parecer uma perda de tempo e recursos mudar navegadores, servidores e sites para HTTPS quando ele usa o mesmo protocolo que HTTP. No entanto, o HTTPS oferece aos clientes e servidores uma variedade de vantagens e benefícios que o HTTP não oferece.
Vantagens e benefícios do HTTPS:
As informações passadas entre um navegador e um servidor são criptografadas, o que aumenta a segurança da comunicação. Os dados podem manter seu
Integridade mesmo que esteja preso por hackers. HTTPS dificulta a escuta de conversas online e protege a privacidade de clientes e usuários do site. O tamanho dos dados é reduzido, então o HTTPS é mais rápido do que HTTP.Sites que usam HTTPS são confiáveis pelos mecanismos de pesquisa .
- Sites HTTPS o geralmente têm uma classificação mais alta nas páginas de resultados dos mecanismos de pesquisa, o que pode ajudar a impulsionar o SEO. Sites que usam HTTPS são menos propensos a serem sinalizados como inseguros, o que melhora a experiência do usuário.
HTTPS está rapidamente se tornando o método preferido para navegação online e compartilhamento de dados. Conexões não seguras usando HTTP deixam clientes e servidores em risco de ataques direcionados e rastreamento de informações, enquanto as conexões HTTPS seguras são projetadas para proteger dados e informações do cliente.
Quão seguro é o HTTPS?
Embora o HTTPS não possa garantir a segurança de hackers ou outros eventos cybercrime, ele garante maior segurança do que HTTP. Ao criptografar as informações transmitidas e apoiar a tríade da CIA, o HTTPS aumenta a segurança do link e do site.
CIA TriadPrincípios para os protocolos de segurança de uma organização
ConfidencialidadeIntegridadeDisponibilidade
HTTPS protege a confidencialidade ocultando cookies e criptografando outros dados.HTTPS mantém a integridade protegendo os dados contra adulteração e modificação.
HTTPS garante a disponibilidade do site redirecionando o acesso para longe de versões falsas.
No entanto, ainda é possível que a segurança do HTTPS vacile. Esteja ciente de que o HTTPS ainda é vulnerável a alguns pontos fracos e ataques, incluindo:
-
-
- Spoofing de DNS: A autoridade de certificação pode ser adulterada, o que significa que sites HTTPS podem ser vítimas de Spoofing de DNS.
-
Criptanálise:
- Os hackers podem usar a criptoanálise para atingir os pontos fracos potenciais do HTTPS.
Ataques de computador cliente: As conexões HTTPS podem ser alvo de ataques de certificados falsos ou perigosos. Se o navegador ou servidor de conexão estiver comprometido, a conexão HTTPS também estará em risco.
Apesar dos possíveis riscos e fraquezas do HTTPS, ele é substancialmente mais seguro que o HTTP porque é menos vulnerável a outros ataques cibernéticos e malware comuns.
7 etapas para alternar de HTTP para HTTPS
HTTPS está se tornando o padrão para segurança de navegadores e servidores. Há sete etapas para alternar de HTTP para HTTPS:
Etapa 1: Faça backup do seu site para sua plataforma de hospedagem ou um disco rígido externo.
Etapa 2: Adquira um certificado TSL/SSL. Os tipos de certificados de segurança são:
Certificado de domínio validado (DV): Indica que você possui o domínio Certificado de validação da organização (OV): Indica que você possui o domínio e anota seu nome e outras informações de identificação
Certificado de validação estendida (EV): Indica que você é o proprietário do domínio, anota informações de identificação e valida sua existência legal Certificado de nome único: Para um único nome de subdomínio
-
-
- Certificado curinga: Permite que um domínio tenha um número ilimitado de subdomínios
-
Certificado de vários domínios: Também conhecido como certificado de domínio alternativo do assunto (SAN) icates, estes suportam até 100 domínios, subdomínios e endereços IP
Certificado de comunicações unificadas (UCC): Projetado especificamente para Microsoft Exchange e Microsoft Office Communication Servers
Etapa 3: Alterar links internos e externos para HTTPS. Existem serviços online para ajudar a alterar e migrar links.
Etapa 4: Atualize sua biblioteca de código para que ela continue a programar e atualizar páginas para HTTPS.
Etapa 5: Criar um Redirecionamento 301 para enviar visitantes ao seu novo site seguro.
Etapa 6: Se você usar um rede de entrega de conteúdo, atualize o TSL/SSL para corresponder ao seu novo certificado.
Etapa 7: Certifique-se de que Google Analytics e Google Search Console são atualizados para corresponder ao seu site HTTPS.
Mesmo que HTTP e HTTPS usem os mesmos protocolos, esteja ciente dos seguintes fatores que podem afetar a transferência do seu site:
Expiração do certificado datas: Antes de adquirir ou adotar um certificado TSL/SSL, verifique a data de validade. Se o certificado expirar ou expirar em breve, a transferência do seu site pode falhar. Nomes de host suportados: Escolha um certificado TSL/SSL que suporte todos os seus nomes de host. Indicação do nome do servidor (SNI): Para obter melhores resultados, inclua uma extensão SNI com seu certificado para que seu nome de host específico esteja disponível para servidores e navegadores. Rastreamento e indexação: Verificar que seu arquivo robots.txt permite que os mecanismos de pesquisa rastreiem suas páginas. Conteúdo correspondente: O conteúdo de suas páginas da web deve corresponder às suas páginas HTTP e HTTPS.
Navegador e a segurança do servidor é um importante problema moderno. Embora 75% dos americanos estejam preocupados com sua privacidade online, a maioria nunca toma medidas pessoais para garantir sua segurança.
