Qual o significado do protocolo HTTPS e por que eu deveria me preocupar?!

O protocolo HTTPS assim como o ícone de cadeado regularmente exibido na barra de endereço, costuma identificar uma conexão de site criptografado. Embora já tenha sido reservada principalmente para senhas e outros dados confidenciais, praticamente todos os serviços de internet estão gradualmente deixando o HTTP para trás e implementando o modelo HTTPS.

O “S” no cabeçalho HTTPS significa “seguro”. Considerado como versão segura do “protocolo de transferência de hipertexto” padrão que seu navegador costuma usar ao se comunicar com os sites da internet.

O Protocolo HTTP deixando você em Risco

Quando você se conecta a um domínio configurado como HTTP apenas , o navegador pesquisa o endereço IP correspondente ao site, conecta-se a esse endereço IP presumindo estar conectado ao servidor da Web correto. Os dados enviados por esta conexão em texto não criptografado. Desta maneira é possível um interceptador em uma rede Wi-Fi, seu provedor de serviços de Internet ou agências de inteligência do governo, como a NSA, poderem visualizar essas páginas da Web que está visitando e os dados que são transferidos.

Muitos problemas podem surgir a partir daí. Por um lado, não existe como verificar se está conectado ao site correto. Talvez pense estar acessando o website do seu banco, mas pode estar numa rede comprometida que direciona sua conexão para um site impostor. Senhas e números de cartão de crédito jamais devem ser enviados através de uma conexão HTTP, ou um intruso pode interceptá-los com relativa facilidade.

Diferente das conexões através do HTTPS serem criptografadas, costumam ser indícios de problemas as conexões HTTP por não serem criptografadas.

Como a criptografia HTTPS protege você

O HTTPS é notoriamente muito mais seguro que o HTTP. Ao conectar-se a um servidor protegido por HTTPS – sites seguros como o do seu banco o redirecionam automaticamente para HTTPS – seu navegador web verifica o certificado de segurança do site e confirma foi emitido por uma autoridade de certificação legítima. Colaborando para que se vir “https://bank.com” na barra de endereços de seu navegador, esteja conectado seguramente ao site oficial do banco. A empresa que emitiu o certificado de segurança os atesta. Embora infelizmente as autoridades de certificação por algumas vezes emitirem certificados ruins, o sistema é decomposto. Embora não seja perfeito o protocolo HTTPS ainda mantém-se muito mais seguro que o HTTP.

Ao enviar informações confidenciais através de uma conexão HTTPS, ninguém consegue espioná-las em trânsito. O HTTPS é o que torna possível o banco on-line garantir a segurança enquanto efetua suas compras ou operações financeiras.

Capaz de também fornece privacidade adicional para navegação normal na web. Como exemplo o mecanismo de buscas do Google, agora padronizado para conexões HTTPS. Resultando das pessoas não poderem ver o que pesquisa no Google.com.br. O mesmo conceito para a Wikipedia e outros sites. Anterior e essa condição qualquer pessoa na mesma rede Wi-Fi poderia ver suas pesquisas, assim como seu provedor de serviços de Internet.

Quais razões motivam o abandono do HTTP ?!

O HTTPS era originalmente dedicado para senhas, pagamentos e outros dados confidenciais mas a internet inteira agora está migrando em direção a ele.

Nos EUA é possível do provedor de serviços de Internet espionar seu histórico de navegação na internet e vendê-lo a anunciantes. Entretanto ao ocorrer a migração para o protocolo HTTPS, seu provedor de serviços de Internet perderá o acesso a muito dos seus dados. Visualizando apenas que está se conectando a um site específico, sem visão de quais páginas individuais está visualizando. Aumentando consideravelmente a privacidade durante a navegação.

Ainda pior quanto ao HTTP permitir ao provedor de serviços da Internet modificar páginas da Web que você visitando, se desejar. Podendo adicionar conteúdo à esta página, adulterar a página ou até mesmo remover itens. Por exemplo, os ISPs podem usar esse método que injetam anúncios nas páginas da web que visita. A Comcast já insere avisos sobre seu limite de largura de banda, e a Verizon inseriu um supercookie usado para rastrear anúncios. O HTTPS impede que os ISPs e qualquer pessoa que esteja executando uma rede adultere páginas da Web como esta.

Complementando ser impossível falar a respeito de criptografia na internet sem mencionar um dos especialistas no assunto, Edward Snowden. Documentos extraviados por Snowden em 2013 mostraram o governo dos EUA monitorando as páginas web visitadas por usuários da Internet em todo o mundo. Acendendo um incêndio em muitas empresas de tecnologia motivando avançar para uma maior criptografia e privacidade. Ao migrar para HTTPS, os governos de todo o mundo terão mais dificuldade em visualizar todos os hábitos de navegação.

Como os navegadores de internet estão encorajando os sites a abandonar o HTTP

Motivados por este incentivo na migração para o HTTPS, todos os novos padrões criados para tornar a Web mais rápida passaram a exigir criptografia HTTPS. O HTTP/2 trata-se de uma nova versão principal do protocolo HTTP compatível com todos os principais navegadores da web. Ele inclui compactação, pipelining e outros recursos visando tornar as páginas da Web mais ágeis. Agora todos os navegadores da web passaram a exigir que os sites utilizem criptografia HTTPS se quiserem esses novos recursos HTTP/2. Dispositivos modernos possuem hardware dedicado para processar a criptografia AES exigida também pelo HTTP. Sugerindo do HTTPS possivelmente mais rápido que o HTTP.

O Google passou a penalizar os sites que mantém o HTTP no interesse de torná-los menos atrativo, enquanto os navegadores estão tornando o HTTPS mais atraente com os novos recursos É ainda planejado pelo Google alertar os sites que não utilizem HTTPS como inseguros no Google Chrome, e o Google pretende destacar sites que usam HTTPS nos resultados de pesquisa do Google. Fornecendo um forte incentivo para eles migrarem para o HTTPS.

Como verificar se está conectado a um site utilizando HTTPS

É possível identificar estar conectado a um site da internet com uma ligação HTTPS quando o endereço na barra de endereço do seu navegador da web começar pelo cabeçalho “https://”. Um ícone de cadeado também será exibido ao lado dele, é possível clicar nesse cadeado para mais informações sobre a segurança do site.

Podem existir pequenas diferenças em como isso é exibido em cada navegador, mesmo assim a maioria deles possuem o termo “https://” e o ícone de bloqueio em comum. Alguns navegadores podem ocultar o “https:// por padrão. Neste caso apenas um ícone de cadeado ao lado do nome de domínio do website será exibido. De qualquer maneira, se clicar ou tocar na barra de endereço poderá visualizar a parte “https://” do endereço.

Se estiver utilizando uma rede desconhecida e conectar ao website de seu banco, verifique o termo HTTPS e o endereço correto do website. Ajuda a assegurar que esteja realmente conectado ao website do banco, embora não seja uma solução infalível. Se não visualizar um indicador HTTPS na página de login, pode estar conectado a um site falso numa rede comprometida.

Muita atenção a práticas de Phishing

A presença de HTTPS em si não é total garantia da legitimidade de um site. Alguns responsáveis por phishing inteligentes perceberam que as pessoas costuma procurar o indicador HTTPS e o ícone de bloqueio, conseguindo ludibriá-los ao disfarçar seus sites com esses complementos. Por esta razão é imprescindível ter cautela ao não clicar em links de e-mails que desconheça a origem por grande chance de ser um ataque de phishing, podendo ser direcionado a uma página habilmente disfarçada. Os golpistas também são capazes de conseguir certificados para seus servidores fraudulentos. Em teoria mesmo sendo impedidos de se passar por sites que não são deles. Ao localizar um endereço como https://google.com.3526347346435.com, mesmo estando numa conexão HTTPS, estará conectado a um subdomínio de um site chamado 3526347346435.com, não sendo o Google legítimo.

Outros golpistas ainda conseguem imitar o ícone do cadeado, alterando o favicon do website exibido na barra de endereço para tentar enganá-lo. Fique atento a esses truques ao verificar sua conexão em um site.