O seu IP: Desconhecido · O seu estado: Protegido
Desprotegido
Desconhecido
Blog Em detalhe

Qual a diferença entre HTTP e HTTPS?

A tradicional indicação “http”, utilizada no início de todos os endereços de websites (por vezes sem o “www” que normalmente vem de seguida, referindo-se à World Wide Web) foi nos últimos anos substituída por “https”. Os principais browsers (navegadores) de internet destacam se um site é http ou https. O Facebook, o Gmail, o Youtube e todos os principais sites que visitamos diariamente utilizam HTTPS; os sites bancários (serviços de homebanking) também.

Ilma Vienazindyte

Ilma Vienazindyte

Jun 17, 2020 · Leitura de 4 min

Qual a diferença entre HTTP e HTTPS?

A que se refere então esta segunda e mais recente indicação? Está relacionada com um protocolo de segurança: os sites com “https” são mais seguros que os outros, normalmente mais antigos. Mas em que consiste a oposição HTTP vs HTTPS? No que se baseia a segurança anunciada por este novo protocolo? Vejamos em seguida.

HTTP

HTTP (Hypertext Transfer Protocol) é um protocolo de comunicação utilizado para transmitir informação através da Internet, entre computadores. Desenvolvida por Tim Berners-Lee e pela sua equipa no CERN, esta tecnologia é a ferramenta de base que sustenta o funcionamento da World Wide Web tal como a conhecemos.

A navegação na internet baseia-se na comunicação entre dois computadores. Ao digitar um endereço num navegador e carregar “Enter”, o utilizador ordena ao computador que entre em contacto com o computador onde está armazenada aquela informação. Ao receber o pedido, o computador remoto irá responder com a informação que tem disponível para apresentar. O computador do utilizador recebe essa informação e apresenta-a sob a forma de uma página web.

No essencial, esta lógica é aplicável a todas as comunicações online, independentemente das nuances e situações específicas com que nos possamos deparar. Por exemplo, ao aceder a um site sujeito a georrestrições, se o computador que recebe o pedido identificar que o computador que faz o pedido está num país a partir do qual não deve receber visitas, irá apresentar uma informação diferente da que apresentaria a um computador no seu próprio país – nomeadamente, que o visitante não poderá aceder.

Man-in-the-Middle

O protocolo HTTP é, por natureza, vulnerável a ataques. A categoria mais comum, e que se subdivide em tipos específicos de interceção, é a “man-in-the-middle” (literalmente, “homem no meio”): uma terceira pessoa, não autorizada, interceta uma comunicação HTTP entre dois computadores sem que os seus utilizadores se apercebam. Pode fazê-lo para espiar o conteúdo das mensagens trocadas, aceder a dados pessoais, nomes de utilizador e passwords, etc. O atacante poderá inclusivamente inserir mensagens na comunicação, dando azo a ataques de phishing, em que o utilizador não se apercebe que está a ser manipulado. Os ataques man-in-the-middle são particularmente fáceis de executar em redes wi-fi públicas, não encriptadas.

SSL e TLS

Para obviar aos inconvenientes do http em termos de segurança, foram desenvolvidas tecnologias de encriptação das comunicações através da internet. Através delas, qualquer pessoa pode aceder, por exemplo, ao seu Facebook ou ao seu Gmail sem temer os ataques mais básicos de hackers (se bem que os mais avançados cibercriminosos tenham acesso a outros recursos).

SSL significa Secure Sockets Layer e é uma espécie de “versão 1.0” do protocolo de segurança comum e extensível a toda a web (assim os webmasters o adotem). Atualmente está a ser substituído pela “versão 2.0”, o TLS (Transport Layer Security). A literatura sobre cibersegurança refere-se já atualmente à tecnologia SSL/TLS e é de esperar que o SSL seja em breve remetido para os livros de História.

Ambas as tecnologias baseiam-se numa lógica de troca de certificados entre o computador do utilizador e o servidor que recebe o pedido. Ao evocar ou tentar aceder a um site com um certificado digital HTTPS, o site irá apresentar ao cliente um conjunto de métodos de encriptação. O computador irá escolher um método e proceder-se-á a uma troca de certificados que permitem a cada computador certificar-se que o outro é quem afirma ser, e dessa forma encriptar a informação trocada de modo a tornar-se inacessível a terceiros. A porta HTTPS de comunicação é a 443, em vez da 80 usada tradicionalmente pelo protocolo HTTP.

O que é HTTPS?

O HTTPS (Hypertext Transfer Protocol Secure) mais não é do que a aplicação de uma tecnologia SSL/TLS a uma comunicação de natureza HTTP. Os sites que dispõe do serviço implementam automaticamente a tecnologia a todos os visitantes, mesmo aos que digitarem “HTTP” no seu browser; afinal, a esmagadora maioria dos sites já dispensa que o internauta escreva o endereço completo (HTTPS://www), otimizando automaticamente a comunicação e a conexão. Os browsers apresentam o ícone de um cadeado junto ao endereço dos sites que disponibilizam esta tecnologia de certificação. Nalguns casos, o browser pode mesmo desaconselhar ou impedir o acesso a um site sem esta tecnologia.

E se um site não tiver HTTPS?

Deverá tomar todas as precauções ao aceder a um site sem protocolo HTTPS. Atualmente, só sites amadores ou maliciosos se permitem estar na internet sem esta tecnologia. Uma forma segura de aceder é levando consigo um “escudo protetor” sob a forma de uma Virtual Private Network (VPN) como a NordVPN, que garante a encriptação dos seus dados e mantém os hackers afastados.

Também disponível em: Dansk, Español