Quando navegamos pela Web estamos constantemente a enviar e a receber pedidos (mensagens) de e para servidores que alojam os sites a que tentamos aceder. Quando o servidor recebe um pedido por parte do browser do cliente, posteriormente envia um “estado” e uma mensagem que pode conter a informação que foi pedida ou simplesmente uma mensagem de erro de que não é possível aceder ao recurso solicitado.

HTTP (Hypertext Transfer Protocol) é um protocolo utilizado para transmitir e receber informação através da Internet. É utilizado para que a informação possa ser trocada entre servidores de forma rápida e fácil. Mas, no que diz respeito a privacidade online, um “S” faz toda a diferença.

HTTPS existe para garantir que o site a que acedemos é seguro e autêntico, protegendo a privacidade e a integridade da informação trocada entre o servidor e o cliente.

O HTTPS é igual ao HTTP só que usa certificados para proteger as comunicações entre o servidor e cliente e vice-versa. Ambos usam URI (Uniform Resource Identifier) para que os recursos espalhados pela Web possam ser identificados em qualquer parte (num respetivo servidor).

Como é que tudo funciona?

Na prática a troca de informação entre o cliente e o servidor passa por um sistema cifrado (garantido pelos certificados digitais), onde mais ninguém tem acesso à informação para além do cliente e do servidor.

Assim, existem dois tipos de camadas de encriptação bastante comuns por onde a informação passa antes de chegar ao servidor ou ao cliente: Transport Layer Security (TLS) e Secure Sockets Layer (SSL). Ambos cifram a informação a ser transmitida.

Quando se usa HTTPS, o servidor responde a uma tentativa de ligação inicial, onde oferece ao cliente uma lista de métodos de encriptação que suporta. Em resposta, o cliente seleciona o método de ligação e realiza-se uma troca de certificados, cujo objetivo é verificar a autenticidade e identidade do servidor e do cliente. Depois deste processo estar concluído, realiza-se a troca de informação após estar assegurado que ambos estão a usar a mesma chave e por fim a comunicação é “fechada”.

HTTPS é importante…

Por questões óbvias de segurança e não só, cada vez mais se disponibilizam sites via HTTPS como são o caso dos sites de bancos e empresas, e noutras situações em que é necessário proteger a privacidade de um indivíduo, a integridade e confidencialidade da informação trocada entre o cliente e o servidor. Além disso, ajuda a prevenir ataques “man-in-the-middle” desde que a chave trocada entre o servidor e o cliente tenha sido verificada e seja “segura”.

Em criptografia, “man-in-the-middle” é um ataque em que o atacante é capaz de alterar a comunicação entre duas entidades realizando ligações independentes onde a troca de mensagens é controlada pelo atacante. É ainda capaz de intercetar mensagens relevantes entre as duas vítimas ou injetar novas. HTTPS é ainda mais importante quando se acedem a pontos de acesso Wi-Fi públicos, onde desconhecemos quem está a controlar ou a monitorizar o tráfego de dados.

Proteja-se com HTTPS

E sem um site que pretende aceder não estar disponível via HTTPS? Para resolver este problema e outros existe uma extensão muito famosa desenvolvida pela EFF (Eletronic Fronteir Foundation) em colaboração com o projeto TOR chamada HTTPS Everywhere, e que é recomendada por Edward Snowden. Esta extensão usa tecnologia inteligente que assegura o uso de conexões cifradas e bloqueia as que não estejam.

Conclusão

Infelizmente, quando navegamos pela Web estamos constantemente expostos a vários perigos que nem sempre cabe a nós, utilizadores, controlar. No entanto, podemos estar atentos e usar as ferramentas certas que nos permitem ter maior controlo sobre os acontecimentos.

À medida que mais dados são revelados acerca de vigilância em massa e criminosos roubam informação, o uso de HTTPS em todos os sites torna-se vital, independentemente dos sites que visitamos. O mesmo se passa com os metadados recolhidos por algumas páginas que visitamos… quando estes dados são agrupados podem revelar muito sobre um utilizador e comprometer a sua privacidade.

Leia também…

Exemplo da (in)segurança de um site sem HTTPS

NewsItem [
pubDate=2017-08-22 16:00:53.0
, url=https://pplware.sapo.pt/internet/http-e-https-descubra-as-diferencas/
, host=pplware.sapo.pt
, wordCount=658
, contentCount=1
, socialActionCount=0
, slug=2017_08_22_1626525111_http-e-https-descubra-as-diferencas
, topics=[tecnologia, segurança, http, https, internet]
, sections=[sociedade, ciencia-tecnologia]
, score=0.000000]