Algumas pessoas dizem que é uma conexão segurança, mas afinal, o que é HTTPS?

Mesmo utilizando a internet diariamente, muitos não reparam que todas as URLs dos sites se iniciam com HTTP ou HTTPS, ou reparam, mas não aguçam a curiosidade para entender de fato o que cada uma dessas “tags” significam. Contudo, entender o que é HTTPS é fundamental para iniciarmos uma conversa sobre navegar com segurança na internet.

Para iniciar nossa conversa vamos explicar o que é HTTPS, o que essa sigla significa bem como qual sua finalidade. Já adiantamos que essa tag, se podemos de fato chama-la assim, é um protocolo de transferência de dados entre redes de computadores na internet.

Vamos então entender o que é HTTPS, qual sua finalidade e se de fato esse protocolo garante sua segurança ao navegar pela web.

O que é HTTPS

Como falamos acima, HTTPS é um protocolo de transferência de dados entre redes de computadores na internet, e inclusive é a versão mais segura do mesmo. A sigla significa Hyper Text Transfer Protocol Secure (HTTPS), que traduzida para o português significa “Protocolo de Transferência de Hipertexto Seguro”.

Esse protocolo é a combinação dos protocolos HTTP e SSL (Secure Sockest Layers). Os motivos para o HTTPS ser considerado o mais seguro é porque ele faz a encriptação dos dados fornecidos, requer a autenticação dos servidores, dentre outras ferramentas que asseguram que os dados enviados e recebidos pelos usuários estejam seguros.

A partir dessas informações, podemos concluir que o protocolo HTTPS de fato representa segurança, contudo, tal segurança se estende somente ao âmbito da conexão.

Mas o que queremos dizer com isso? No próximo tópico explicaremos que o fato de navegar somente em sites que possuam o protocolo HTTPS não te protege de todos os riscos existentes na web.

Uma conexão segura não significa um site seguro

Sejamos honestos, agora que sabemos que aquele pequeno cadeado verde com a palavra “Seguro” à esquerda de uma URL, significa uma conexão segura, nos sentiremos muito seguros ao acessar aquele site. Assim como as palavras “este site usa uma conexão segura” ou uma URL começando com “https”. Mais e mais sites atualmente estão mudando para o HTTPS. A maioria não tem escolha, na verdade. Então qual é o problema? Quanto mais sites seguros melhor, certo?

Vamos reforçar uma informação fundamental que já falamos acima no texto: aqueles símbolos “seguros” não garantem que um site esteja seguro de todas as ameaças. Um site de phishing, por exemplo, pode legitimamente exibir esse cadeado verde reconfortante ao lado de seu endereço https.

Então para que serve esse cadeado?

O cadeado verde significa que o site recebeu um certificado e que um par de chaves criptográficas foram geradas para ele. Esses sites codificam informações transmitidas entre você e o site. Nesse caso, as URLs da página começam com HTTPS, com o último “S” significando “Seguro”.

Claro que criptografar dados transmitidos é uma coisa boa. Isso significa que as informações trocadas entre seu navegador e o site não são acessíveis a terceiros – ISPs, administradores de rede, intrusos, etc. Ele permite que você insira senhas ou detalhes do cartão de crédito sem se preocupar com olhos curiosos.

Mas o problema é que o cadeado verde e o certificado emitido não dizem nada sobre o próprio site. Uma página de phishing pode facilmente obter um certificado e criptografar todo o tráfego que flui entre você e ele.

Simplificando, tudo o que um cadeado verde garante é que ninguém mais pode espiar os dados que você inseriu. Mas sua senha ainda pode ser roubada pelo próprio site, se o mesmo for falso.

Os Phishers usam ativamente essa tática: de acordo com Phishlabs, um quarto de todos os ataques de phishing hoje são realizados em sites HTTPS (dois anos atrás era menos de 1 por cento). Além disso, mais de 80 por cento dos usuários acreditam que a simples presença de um pequeno cadeado verde e a palavra “Seguro” ao lado da URL significam que o site é seguro e eles não pensam muito antes de inserir seus dados.

E se não existir um cadeado?

Se a barra de endereços não mostrar nenhum cadeado, isso significa que o site não usa criptografia, trocando informações com seu navegador usando HTTP padrão. O Google Chrome começou a marcar tais sites como inseguros. Eles podem, de fato ser confiáveis, mas não criptografar o tráfego entre você e o servidor. A maioria dos proprietários de sites não quer que o Google rotule seus sites como inseguros, então cada vez mais estão migrando para o HTTPS. De toda forma, inserir dados confidenciais em um site HTTP é uma má ideia – qualquer um pode espioná-lo.

A segunda variante que você pode ver é um ícone de cadeado entrecruzado com linhas vermelhas e as letras HTTPS marcadas em vermelho. Isso significa que o site possui um certificado, mas o certificado não foi verificado ou está desatualizado. Ou seja, a conexão entre você e o servidor é criptografada, mas ninguém pode garantir que o domínio realmente pertence à empresa indicada no site. Este é o cenário mais suspeito; geralmente esses certificados são usados ​​apenas para fins de teste.

Um outro caso é se o certificado expirou e o proprietário não conseguiu renová-lo. Os navegadores irão marcar a página como insegura, mas de forma mais visível, exibindo um aviso de cadeado vermelho. Em ambos os casos, tenha o vermelho como o aviso e evite esses sites – não coloque dados pessoais neles.

Como não cair na isca

A presença de um certificado e o cadeado verde significam apenas que os dados transmitidos entre você e o site são criptografados e que o certificado foi emitido por uma autoridade de certificação confiável. Mas isso não impede que um site HTTPS seja mal-intencionado e manipulado de maneira mais habilidosa por golpistas que praticam o phishing.

Portanto, sempre fique atento, não importa o quão seguro o site parece à primeira vista.

• Nunca entre logins, senhas, credenciais bancárias ou qualquer outra informação pessoal no site, a menos que você tenha certeza de sua autenticidade. Para fazer isso, sempre verifique o nome do domínio – e com muito cuidado; o nome de um site falso pode diferir por apenas um caractere. E assegure que os links sejam confiáveis ​​antes de clicar.
• Considere sempre o que um site particular está oferecendo, se parece suspeito, e se você realmente precisa se registrar nele.

 

E aí, gostou do conteúdo acima? Que tal compartilhar com seus amigos em suas redes sociais? Não deixe também de se inscrever em nossa newsletter, onde enviamos vários conteúdos valiosos para seu negócio.

Ah, e é claro, caso tenha ficado alguma dúvida, ou exista algo a ser acrescentado a esse material, deixe abaixo nos comentários.