Precisa de computação em nuvem? Comece agora mesmo

O que é HTTPS?

O que é HTTPS ou protocolo seguro da Web?

Agora vamos dar uma olhada no protocolo seguro da Web, HTTPS. O "S" no final do HTTPS, é claro, significa  "seguro". O HTTPS fornece autenticação do website, bem como criptografia da comunicação. A autenticação do website é a forma de saber que você está realmente acessando www.apple.com e não um website falso. Inicialmente, o HTTPS foi usado para proteger logins e transações on-line confidenciais, como transações bancárias e compras on-line. Atualmente, no entanto, HTTPS é praticamente o padrão para tudo.

HTTPS é baseado em uma tecnologia chamada criptografia de chave pública. Para que funcione, o website precisa de um par de chaves público-privadas certificado por uma autoridade de certificação. Não entrarei em detalhes sobre o funcionamento da criptografia de chave pública.

Agora, vamos refazer nosso exemplo, desta vez com HTTPS. A etapa 1 é igual à anterior: Digitamos o endereço ou clicamos em um link.

Antes de passarmos para a etapa 2, temos que inserir uma nova etapa que estou numerando como 1.5. Nesta etapa, o navegador e o servidor Web realizam uma dança criptográfica, ou seja, uma troca de mensagens e alguns cálculos realmente interessantes, usando o par de chaves público-privadas do servidor Web, a fim de autenticar o website e criar duas novas chaves que são chamadas chaves de sessão (uma para o cliente e um para o servidor). Essas chaves de sessão são usadas para criptografar e descriptografar as mensagens.

Essas funções criptográficas são executadas por um protocolo chamado segurança de camada de transporte, ou TLS (Transport Layer Security), que é o sucessor do SSL (Secure Sockets Layer) agora obsoleto.

Agora podemos passar para a etapa 2, que funciona exatamente como antes, mas agora, depois que o navegador escreve a mensagem de solicitação, antes de enviá-la, ele usa sua chave de sessão para criptografá-la. A mensagem criptografada é então enviada ao servidor da Web. O servidor da Web, depois de receber a mensagem, usa sua chave de sessão para descriptografar e ler a mensagem.

A Etapa 3 opera de forma semelhante com a mensagem de resposta. Depois de gravar a mensagem de resposta, o servidor da Web a criptografa usando sua chave de sessão e, em seguida, a envia de volta ao navegador. O navegador, depois de receber a mensagem, usa sua chave de sessão para descriptografar e ler a mensagem.

Por fim, a etapa 4 opera como antes: o navegador processa a resposta e podemos ver a página da Web.

O ícone de cadeado indica uma conexão segura e autenticação do website.

Você pode estar se perguntando como as mensagens de solicitação e resposta encontram seu caminho para o servidor Web e vice-versa. A resposta é o Protocolo de Internet, IP, e esse é o assunto da próxima apresentação, O que é um endereço IP?

Um website seguro tornou-se um sinal importante de confiança para os usuários da Internet. Ver um símbolo de cadeado na barra de endereços do navegador oferece às pessoas que usam websites um grau de garantia de que o website é legítimo e seguro. 

A Internet é baseada em protocolos, incluindo o HTTP (Hypertext Transfer Protocol). Um S no HTTP de um URL de website, ou seja, HTTPS, indica que o website usa a versão segura do HTTP, ou seja, S de seguro. O HTTPS (Hypertext Transfer Protocol Secure) foi usado originalmente para proteger logins on-line e garantir que transações bancárias e de compras on-line fossem seguras. Entretanto, em 2014, o Google elevou as apostas para o uso do HTTPS, usando-o como um sinal de classificação. O efeito sobre a adoção do HTTPS foi dramático, e hoje mais de 80% de todos os websites usam o HTTPS.

Qual é a diferença entre HTTP e HTTPS?

O HTTPS e o protocolo de segurança relacionado, SSL (Secure Sockets Layer), foram lançados pela Netscape em 1994 para proteger o navegador Netscape.

As conexões HTTPS facilitam duas funções críticas para ajudar a estabelecer confiança e criar conexões seguras na Internet:

  • Autenticação do website: Isso autentica um website para que o usuário saiba que a legitimidade do website foi verificada. Por exemplo, apple.com é o website da empresa Apple Inc.
  • Criptografia de dados: Os websites HTTPS usam o protocolo TLS (Transport Layer Security) (o sucessor do SSL) para criptografar o tráfego da Web, protegendo informações confidenciais entre um cliente (por exemplo, navegador da Web) e um servidor da Web. Por exemplo, se você comprar algo on-line e enviar seus dados de cartão de crédito para fazer a compra, se o website for HTTPS, esses dados serão enviados em formato criptografado, em vez de texto simples para o servidor da Web.

Como a HTTPS funciona?

O HTTPS é baseado em uma tecnologia chamada public key infrastructure (PKI). A PKI depende da criptografia de chave pública e de uma assinatura digital. Um "par de chaves" é criado pelo proprietário do website, e a chave pública é enviada a uma autoridade confiável conhecida como "autoridade de certificação" (CA, Certificate Authority). Essa autoridade assina a chave pública, que produz um documento conhecido como certificado digital. O website agora contém uma chave privada e um certificado SSL, que mantém a chave pública. A chave pública verifica qualquer coisa assinada pela chave privada. O certificado digital fornece uma cadeia de confiança e validação de que o website é autêntico. O HTTPS funciona em conjunto com um protocolo de segurança (SSL/TLS) para criptografar e descriptografar comunicações e dados confidenciais entre o navegador da Web e o servidor da Web.

Etapas em um fluxo de solicitação/resposta HTTPS

O fluxo de solicitação-resposta do protocolo HTTPS começa da mesma maneira que HTTP. No entanto, uma etapa intermediária, a etapa 1.5, é usada para diferenciar os dois fluxos:

Etapa 1: Navegação e início

O usuário digita um endereço da Web em um navegador ou clica em um link em um e-mail ou outra comunicação. O endereço contém um URL (Uniform Resource Locator), que contém HTTP para informar o navegador para usar HTTP para buscar o documento que representa a URL.

Etapa 1,5: A dança criptográfica

A etapa 1.5 envolve o navegador e o servidor da Web executando uma "dança criptográfica". Isso envolve a troca de mensagens criptografadas. As etapas exigem que funções criptográficas complexas sejam executadas usando o protocolo TLS, usando o par de chaves público-privadas do servidor Web gerado por meio da autoridade de certificação (CA). Esta etapa autentica o website e cria duas novas chaves (chaves de sessão): uma para o cliente e outra para o servidor. Essas chaves de sessão são usadas para criptografar e descriptografar as mensagens.

Etapa 2: O cliente envia uma mensagem de solicitação HTTP ao servidor

A etapa 2 é igual ao fluxo de solicitação-resposta da etapa 2 do HTTP. O cliente, por exemplo, o navegador, constrói uma mensagem de solicitação que é direcionada ao servidor da Web. A mensagem inclui informações adicionais sobre a solicitação, como quem é a entidade solicitante. No entanto, ao contrário do HTTP, após gravar a mensagem de solicitação e antes que o navegador possa enviar a mensagem, a solicitação HTTP(S) deve usar a chave de sessão para criptografar a mensagem.

Etapa 3: O servidor da Web envia a resposta HTTPS de volta ao cliente

Quando uma solicitação é recebida, o servidor da Web usa sua chave de sessão para descriptografar e ler a mensagem. Em seguida, o servidor da Web cria uma mensagem de resposta, que criptografa usando a chave de sessão antes de enviá-la de volta ao navegador.

Etapa 4: Mensagem renderizada pelo navegador

Ao receber a mensagem criptografada, o navegador usa sua chave de sessão para descriptografar e ler a mensagem. A parte final dessa etapa é o navegador renderizando a mensagem de resposta e exibindo a página da Web no navegador.

Por que é importante usar HTTPS?

Sem o HTTPS, os usuários da Internet e os dados trocados on-line entre clientes (por exemplo, navegadores) e um servidor da Web correm o risco de sofrer as seguintes ameaças:

Ataques de interceptação: HTTPS usa o protocolo TLS para criptografar comunicações. Mesmo que os invasores interceptem a comunicação, eles não poderão descriptografar e roubar os dados.

Roubo de credenciais: O roubo de credenciais está atrás de 54% dos incidentes de segurança, de acordo com um relatório da Ponemon. Se um website tiver o HTTPS implementado corretamente, todos os dados enviados por esse website, por exemplo, credenciais de login, serão seguros, pois estão criptografados.

Confiança reduzida: Os websites que sinalizam que são HTTPS receberam um certificado digital por uma CA confiável. A CA realiza verificações de diligência devida na empresa durante a emissão do certificado. No entanto, é preciso ter cuidado, pois, de acordo com as estatísticas do Anti-Phishing Working Group (APWG), 83% dos websites de phishing usam HTTPS.

Perguntas frequentes (FAQ)

HTTPS é a versão segura do protocolo de transferência de hipertexto (HTTP) que busca recursos como, por exemplo, documentos HTML. O HTTPS facilita a troca segura de mensagens entre o cliente (navegador) e um servidor da Web. O HTTPS usa criptografia de par de chaves juntamente com o protocolo TLS (Transport Layer Security) para executar a criptografia/descriptografia dessas mensagens. O HTTPS também indica que um website usa esse protocolo seguro e que o proprietário do website foi verificado.

HTTP é um protocolo da Web usado para fornecer o conteúdo de um website, permitindo que ele seja exibido em um navegador. O protocolo da Web, HTTP, é um protocolo de solicitação-resposta que define como os clientes da Web se comunicam com os servidores da Web. O HTTPS é a versão segura desse protocolo que utiliza o protocolo TLS (Transport Layer Security) e a criptografia de par de chaves para proteger a troca de mensagens entre o cliente (por exemplo, navegador) e um servidor da Web.

Não, HTTPS não significa necessariamente que um website é seguro. 

O HTTPS (Hypertext Transfer Protocol Secure) é um protocolo que criptografa a comunicação entre um navegador da Web e um website, fornecendo uma conexão segura. Ele garante que os dados transmitidos entre o usuário e o website não possam ser interceptados ou adulterados por partes não autorizadas.

Embora o HTTPS seja uma medida de segurança importante que protege os dados durante a transmissão, ele não garante a segurança geral ou confiabilidade de um website. Um website ainda pode conter conteúdo mal-intencionado, ter vulnerabilidades ou se envolver em atividades fraudulentas, mesmo que use HTTPS.

HTTPS significa "Hypertext Transfer Protocol Secure." A finalidade do "S" em HTTPS é indicar que a comunicação entre um navegador da Web e um website é criptografada e segura.

O "S" em HTTPS indica que o website tem um certificado SSL/TLS instalado e que a conexão é criptografada e segura. Essa criptografia ajuda a proteger informações confidenciais e garante que a conexão do usuário com o website seja autêntica e confiável.

Por que os clientes escolhem a Akamai

A Akamai é uma empresa de cibersegurança e cloud que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança.

Explore todas as soluções de segurança da Akamai