O que é HTTPS e por que devo me importar?
HTTPS, o ícone de cadeado na barra de endereço, uma conexão de site criptografada - é conhecido como muitas coisas. Embora antes fosse reservado principalmente para senhas e outros dados confidenciais, toda a web está gradualmente deixando o HTTP para trás e mudando para HTTPS.
O “S” em HTTPS significa “Seguro”. É a versão segura do "protocolo de transferência de hipertexto" padrão que seu navegador usa ao se comunicar com sites.
Como o HTTP coloca você em risco
Quando você se conecta a um site com HTTP normal, seu navegador procura o endereço IP que corresponde ao site, se conecta a esse endereço IP e assume que está conectado ao servidor da web correto. Os dados são enviados pela conexão em texto não criptografado. Um intruso em uma rede Wi-Fi, seu provedor de serviços de Internet ou agências de inteligência do governo como a NSA pode ver as páginas da web que você está visitando e os dados que você está transferindo de um lado para outro.
RELACIONADO:O que é criptografia e como funciona?
Existem grandes problemas com isso. Por um lado, não há como verificar se você está conectado ao site correto. Talvez você pensar você acessou o site do seu banco, mas está em uma rede comprometida que o está redirecionando para um site impostor. Senhas e números de cartão de crédito nunca devem ser enviados por uma conexão HTTP, ou um intruso poderia facilmente roubá-los.
Esses problemas ocorrem porque as conexões HTTP não são criptografadas. As conexões HTTPS são.
Como a criptografia HTTPS protege você
RELACIONADO:Como os navegadores verificam as identidades dos sites e se protegem contra impostores
HTTPS é muito mais seguro do que HTTP. Quando você se conecta a um servidor protegido por HTTPS - sites seguros como o do seu banco irão redirecioná-lo automaticamente para HTTPS - seu navegador verifica o certificado de segurança do site e verifica se foi emitido por uma autoridade de certificação legítima. Isso ajuda a garantir que, se vir “//bank.com” na barra de endereço do seu navegador, você está realmente conectado ao site real do seu banco. A empresa que emitiu o certificado de segurança os garante. Infelizmente, as autoridades de certificação às vezes emitem certificados incorretos e o sistema quebra. Embora não seja perfeito, HTTPS ainda é muito mais seguro do que HTTP.
Quando você envia informações confidenciais por meio de uma conexão HTTPS, ninguém pode espionar em trânsito. HTTPS é o que torna possível fazer compras e serviços bancários online seguros.
Também fornece privacidade adicional para navegação normal na web. Por exemplo, o mecanismo de pesquisa do Google agora usa conexões HTTPS como padrão. Isso significa que as pessoas não podem ver o que você está procurando no Google.com. O mesmo vale para a Wikipedia e outros sites. Anteriormente, qualquer pessoa na mesma rede Wi-Fi seria capaz de ver suas pesquisas, assim como o seu provedor de serviços de Internet.
Por que todo mundo quer deixar o HTTP para trás
HTTPS foi originalmente planejado para senhas, pagamentos e outros dados confidenciais, mas agora toda a web está se movendo em direção a ele.
Nos EUA, seu provedor de serviços de Internet tem permissão para espionar seu histórico de navegação na web e vendê-lo para anunciantes. Se a web mudar para HTTPS, seu provedor de serviços de Internet não poderá ver muitos desses dados, porém, eles só verão que você está se conectando a um site específico, ao contrário de quais páginas individuais você está visualizando. Isso significa muito mais privacidade para sua navegação.
Pior ainda, o HTTP permite que seu provedor de serviços de Internet adultere as páginas da web que você está visitando, se quiserem. Eles podem adicionar conteúdo à página da web, modificar a página ou até mesmo remover coisas. Por exemplo, os ISPs podem usar esse método para injetar mais anúncios nas páginas da web que você visita. A Comcast já injeta avisos sobre seu limite de largura de banda, e a Verizon injetou um supercookie usado para rastrear anúncios. HTTPS impede que os ISPs e qualquer outra pessoa que esteja executando uma rede adultere páginas da web como esta.
E, claro, é impossível falar sobre criptografia na web sem mencionar Edward Snowden. Os documentos vazados por Snowden em 2013 mostraram que o governo dos EUA está monitorando as páginas da web visitadas por usuários da Internet em todo o mundo. Isso acendeu um incêndio em muitas empresas de tecnologia que buscavam maior criptografia e privacidade. Ao mudar para HTTPS, os governos em todo o mundo têm mais dificuldade em visualizar todos os seus hábitos de navegação.
Como os navegadores estão incentivando sites a despejar HTTP
Devido a esse desejo de mudar para HTTPS, todos os novos padrões projetados para tornar a web mais rápida requerem criptografia HTTPS. HTTP / 2 é uma nova versão principal do protocolo HTTP com suporte em todos os principais navegadores da web. Ele adiciona compactação, pipelining e outros recursos que ajudam a agilizar o carregamento das páginas da web. Todos os navegadores da web exigem que os sites usem criptografia HTTPS se quiserem esses novos recursos HTTP / 2 úteis. Dispositivos modernos têm hardware dedicado para processar a criptografia AES que o HTTP exige também. Isso significa que o HTTPS deve ser mais rápido do que o HTTP.
Enquanto os navegadores estão tornando o HTTPS atraente com novos recursos, o Google está tornando o HTTP pouco atraente ao penalizar sites por usá-lo. O Google planeja sinalizar sites que não usam HTTPS como inseguros no Chrome, e quer priorizar sites que usam HTTPS nos resultados de pesquisa do Google. Isso oferece um forte incentivo para que os sites migrem para HTTPS.
Como verificar se você está conectado a um site usando HTTPS
Você saberá que está conectado a um site com uma conexão HTTPS se o endereço na barra de endereço do seu navegador começar com “//”. Você também verá um ícone de cadeado, no qual pode clicar para obter mais informações sobre a segurança do site.
Isso parece um pouco diferente em cada navegador, mas a maioria dos navegadores tem // e o ícone de cadeado em comum. Alguns navegadores agora ocultam o “//” por padrão, então você verá apenas um ícone de cadeado próximo ao nome de domínio do site. No entanto, se você clicar ou tocar dentro da barra de endereço, verá a parte “//” do endereço.
RELACIONADO:Por que usar uma rede Wi-Fi pública pode ser perigoso, mesmo ao acessar sites criptografados
Se você estiver usando uma rede desconhecida e se conectar ao site do seu banco, certifique-se de ver o HTTPS e o endereço do site correto. Isso ajuda a garantir que você esteja realmente conectado ao site do banco, embora não seja uma solução infalível. Caso não veja um indicador HTTPS na página de login, você pode estar conectado a um site impostor em uma rede comprometida.
Cuidado com os truques de phishing
RELACIONADO:Segurança online: decompondo a anatomia de um e-mail de phishing
A presença de HTTPS em si não é uma garantia de que um site é legítimo. Alguns phishers mais espertos perceberam que as pessoas procuram o indicador HTTPS e o ícone de cadeado e podem sair de seu caminho para disfarçar seus sites. Portanto, você ainda deve ter cuidado: não clique em links em e-mails de phishing, ou você pode acabar em uma página habilmente disfarçada. Os golpistas também podem obter certificados para seus servidores de golpes. Em teoria, eles só são impedidos de se passar por sites de que não são proprietários. Você pode ver um endereço como //google.com.3526347346435.com. Nesse caso, você está usando uma conexão HTTPS, mas na verdade está conectado a um subdomínio de um site chamado 3526347346435.com - não ao Google.
Outros golpistas podem imitar o ícone de cadeado, alterando o favicon de seu site que aparece na barra de endereço para um cadeado para tentar enganá-lo. Fique atento a esses truques ao verificar sua conexão com um site.