Artigos TecnologiaCiberSegurança

descubra as diferenças HTTP e HTTPS

Quando navegamos pela Web (https ou https) estamos constantemente a enviar e a receber pedidos (mensagens) de e para servidores que alojam os sites a que tentamos aceder. Quando o servidor recebe um pedido por parte do browser do cliente, posteriormente envia um “estado” e uma mensagem que pode conter a informação que foi pedida ou simplesmente uma mensagem de erro de que não é possível aceder ao recurso solicitado.

HTTP (Hypertext Transfer Protocol) é um protocolo utilizado para transmitir e receber informação através da Internet. É utilizado para que a informação possa ser trocada entre servidores de forma rápida e fácil. Mas, no que diz respeito a privacidade online, um “S” faz toda a diferença.

https (Captura de Ecrã )

HTTPS existe para garantir que o site a que acedemos é seguro e autêntico, protegendo a privacidade e a integridade da informação trocada entre o servidor e o cliente.

O HTTPS é igual ao HTTP só que usa certificados para proteger as comunicações entre o servidor e cliente e vice-versa. Ambos usam URI (Uniform Resource Identifier) para que os recursos espalhados pela Web possam ser identificados em qualquer parte (num respetivo servidor).

Para garantir a integridade, o TLS/SSL adiciona a cada mensagem, seja ela requisição ou resposta, um código. Esse código é denominado MAC (Message Authentication Code) e busca permitir ao destinatário detectar se a mensagem foi alterada. Seu funcionamento é simples. Calcula-se um resumo (Hash) de cada mensagem e envia-se esse resumo junto com a mensagem. Assim, quando o destinatário receber a mensagem, deve calcular o mesmo resumo e verificar se o resumo calculado é igual ao recebido. Se for igual, a mensagem não foi alterada, mas se for diferente, o destinatário deve descartar a mensagem e pedir uma nova.

Exemplo de site com HTTPS, mas com certificado não autenticado (Foto: Reprodução/Microsoft.com)

Assim, com o TLS/SSL adicionado ao HTTP, o HTTPS garante tanto a confidencialidade quanto a integridade das requisições e respostas do protocolo. No entanto, apenas com o TLS/SSL não é possível garantir que o servidor é realmente quem ele diz ser. Isso ocorre, pois a chave pública é enviada para o navegador pelo próprio servidor Web. Dessa forma, se o usuário malicioso falar com o usuário como se fosse o servidor, o usuário envia os dados para o usuário malicioso pensando que está conversando com o servidor legítimo. Para evitar esse problema, na Internet, criou-se uma infraestrutura de chaves públicas.

Assim, após criar o seu par de chaves, o administrador do Website deve registrar esse par de chaves em uma autoridade certificadora da Internet. A autoridade certificadora funciona como um cartório do mundo real e emite um certificado confirmando que aquela chave pública é realmente do site. Esse processo, nos certificados mais fortes, envolve, inclusive, o sócio do site indo pessoalmente até a sede da autoridade certificadora portando os documentos legais da empresa. Dessa forma, quando um site possui um certificado, o navegador o exibe com todas as informações da empresa que o emitiu.

O funcionamento é simples, quando o servidor envia a chave pública para o usuário, ele também envia o certificado que atesta a validade da chave pública. Assim, o usuário consulta a autoridade certificadora para verificar o certificado, que pode inclusive ter sido revogado. Caso a autoridade certificadora ateste a validade do certificado, o navegador confia na chave pública recebida e se comunica com o servidor tendo a certeza de que é o servidor legítimo.

Como é que tudo funciona?

Na prática a troca de informação entre o cliente e o servidor passa por um sistema cifrado (garantido pelos certificados digitais), onde mais ninguém tem acesso à informação para além do cliente e do servidor.

Assim, existem dois tipos de camadas de encriptação bastante comuns por onde a informação passa antes de chegar ao servidor ou ao cliente: Transport Layer Security (TLS) e Secure Sockets Layer (SSL). Ambos cifram a informação a ser transmitida.

funcionamento do http e https

Quando se usa HTTPS, o servidor responde a uma tentativa de ligação inicial, onde oferece ao cliente uma lista de métodos de encriptação que suporta. Em resposta, o cliente seleciona o método de ligação e realiza-se uma troca de certificados, cujo objetivo é verificar a autenticidade e identidade do servidor e do cliente. Depois deste processo estar concluído, realiza-se a troca de informação após estar assegurado que ambos estão a usar a mesma chave e por fim a comunicação é “fechada”.

HTTPS é importante…

Por questões óbvias de segurança e não só, cada vez mais se disponibilizam sites via HTTPS como são o caso dos sites de bancos e empresas, e noutras situações em que é necessário proteger a privacidade de um indivíduo, a integridade e confidencialidade da informação trocada entre o cliente e o servidor. Além disso, ajuda a prevenir ataques “man-in-the-middle” desde que a chave trocada entre o servidor e o cliente tenha sido verificada e seja “segura”.

“man-in-the-middle”
Em criptografia, “man-in-the-middle”

Proteja-se com HTTPS

E sem um site que pretende aceder não estar disponível via HTTPS? Para resolver este problema e outros existe uma extensão muito famosa desenvolvida pela EFF (Eletronic Fronteir Foundation) em colaboração com o projeto TOR chamada HTTPS Everywhere, e que é recomendada por Edward Snowden. Esta extensão usa tecnologia inteligente que assegura o uso de conexões cifradas e bloqueia as que não estejam.

Conclusão

Infelizmente, quando navegamos pela Web estamos constantemente expostos a vários perigos que nem sempre cabe a nós, utilizadores, controlar. No entanto, podemos estar atentos e usar as ferramentas certas que nos permitem ter maior controlo sobre os acontecimentos.

À medida que mais dados são revelados acerca de vigilância em massa e criminosos roubam informação, o uso de HTTPS em todos os sites torna-se vital, independentemente dos sites que visitamos. O mesmo se passa com os metadados recolhidos por algumas páginas que visitamos… quando estes dados são agrupados podem revelar muito sobre um utilizador e comprometer a sua privacidade.


Para obter as últimas notícias Tecnologia, Gamers, Cinema e tutorial , siga o SENASNERD no Twitter FacebookInstagram . Para os vídeos mais recentes sobre -> SENASNERD , Subscreva-se no canal no YouTube .

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Botão Voltar ao Topo