Última atualização em 15/04/2021
HTTPS, o ícone de cadeado na barra de endereço, uma conexão de site criptografada – é conhecida como muitas coisas. Embora já tenha sido reservada principalmente para senhas e outros dados confidenciais, a Web inteira está gradualmente deixando o HTTP para trás e alternando para HTTPS.
O “S” em HTTPS significa “seguro”. É a versão segura do “protocolo de transferência de hipertexto” padrão que seu navegador da Web usa ao se comunicar com sites.
Como o HTTP coloca você em risco
Quando você se conecta a um site com HTTP regular, o navegador procura o endereço IP que corresponde ao site, conecta-se a esse endereço IP e supõe que esteja conectado ao servidor da Web correto. Os dados são enviados pela conexão em texto não criptografado. Um interceptador em uma rede Wi-Fi, seu provedor de serviços de internet ou agências de inteligência do governo, como a NSA, podem ver as páginas da Web que você está visitando e os dados que está transferindo para frente e para trás.
Existem grandes problemas com isso. Por um lado, não há como verificar se você está conectado ao site correto. Talvez você ache que acessou o site do seu banco, mas está em uma rede comprometida que está redirecionando você para um site impostor. Senhas e números de cartão de crédito nunca devem ser enviados através de uma conexão HTTP, ou um intruso poderia facilmente roubá-los.
Esses problemas ocorrem porque as conexões HTTP não são criptografadas . Conexões HTTPS são.
Como a criptografia HTTPS protege você
O HTTPS é muito mais seguro que o HTTP. Quando você se conecta a um servidor protegido por HTTPS – sites seguros como o do seu banco o redirecionam automaticamente para HTTPS – seu navegador da web verifica o certificado de segurança do site e verifica se ele foi emitido por uma autoridade de certificação legítima. Isso ajuda a garantir que, se você vir “https://bank.com” na barra de endereços do seu navegador, na verdade você está conectado ao site real do seu banco. A empresa que emitiu o certificado de segurança os atesta. Infelizmente, as autoridades de certificação, por vezes, emitem certificados ruins e o sistema é decomposto . Embora não seja perfeito, o HTTPS ainda é muito mais seguro que o HTTP.
Quando você envia informações confidenciais através de uma conexão HTTPS, ninguém pode espioná-las em trânsito. O HTTPS é o que torna possível o banco on-line seguro e as compras.
Ele também fornece privacidade adicional para navegação normal na web também. Por exemplo, o mecanismo de pesquisa do Google agora é padronizado para conexões HTTPS. Isso significa que as pessoas não podem ver o que você está procurando no Google.com.br. O mesmo vale para a Wikipedia e outros sites. Anteriormente, qualquer pessoa na mesma rede Wi-Fi poderia ver suas pesquisas, assim como seu provedor de serviços de Internet.
Por que todo mundo quer deixar o HTTP para trás?
O HTTPS era originalmente destinado a senhas, pagamentos e outros dados confidenciais, mas a Web inteira agora está se movendo em direção a ele.
Nos EUA, seu provedor de serviços de Internet pode espionar seu histórico de navegação na Web e vendê-lo a anunciantes . Se a Web for movida para HTTPS, seu provedor de serviços de Internet não conseguirá ver o máximo desses dados. Eles só verão que você está se conectando a um site específico, em oposição a quais páginas individuais você está visualizando. Isso significa muito mais privacidade para a sua navegação.
Pior ainda, o HTTP permite que seu provedor de serviços de Internet adultere as páginas da Web que você está visitando, se quiserem. Eles podem adicionar conteúdo à página da Web, modificar a página ou até mesmo remover itens. Por exemplo, os ISPs podem usar esse método para injetar mais anúncios nas páginas da web que você visita. A Comcast já injeta avisos sobre seu limite de largura de banda , e a Verizon injetou um supercookie usado para rastrear anúncios. O HTTPS impede que os ISPs e qualquer pessoa que esteja executando uma rede adultere páginas da Web como esta.
E, é claro, é impossível falar sobre criptografia na web sem mencionar Edward Snowden. Os documentos vazados por Snowden em 2013 mostraram que o governo dos EUA está monitorando as páginas da web visitadas por usuários da Internet em todo o mundo. Isso acendeu um incêndio em muitas empresas de tecnologia para avançar para uma maior criptografia e privacidade. Ao mudar para HTTPS, os governos de todo o mundo têm mais dificuldade em visualizar todos os seus hábitos de navegação.
Como os navegadores estão incentivando sites a despejar HTTP
Devido a esse desejo de migrar para HTTPS, todos os novos padrões criados para tornar a Web mais rápida exigem criptografia HTTPS. O HTTP / 2 é uma nova versão principal do protocolo HTTP suportado em todos os principais navegadores da web. Ele adiciona compactação, pipelining e outros recursos que ajudam a tornar as páginas da Web carregadas mais rapidamente. Todos os navegadores da Web exigem que os sites usem criptografia HTTPS se quiserem esses novos recursos HTTP / 2 úteis. Dispositivos modernos têm hardware dedicado para processar a criptografia AES que o HTTP também requer. Isso significa que o HTTPS deve ser mais rápido que o HTTP.
Enquanto os navegadores estão tornando o HTTPS atraente com os novos recursos, o Google está tornando o HTTP pouco atrativo ao penalizar sites por usá-lo. O Google planeja sinalizar sites que não usam HTTPS como não seguros no Chrome , e o Google quer priorizar sites que usam HTTPS nos resultados de pesquisa do Google. Isso fornece um forte incentivo para os sites migrarem para o HTTPS.
Como verificar se você está conectado a um site usando HTTPS
Você pode dizer que está conectado a um site com uma conexão HTTPS se o endereço na barra de endereço do seu navegador da Web começar com “https: //”. Você também verá um ícone de cadeado, no qual você pode clicar para mais informações sobre a segurança do site.
Isso parece um pouco diferente em cada navegador, mas a maioria dos navegadores tem o https: // e o ícone de bloqueio em comum. Alguns navegadores agora ocultam o “https: //” por padrão, então você verá apenas um ícone de cadeado ao lado do nome de domínio do site. No entanto, se você clicar ou tocar na barra de endereço, verá a parte “https: //” do endereço.
Se você estiver usando uma rede desconhecida e se conectar ao site do seu banco, verifique se o HTTPS e o endereço do website estão corretos. Isso ajuda a garantir que você esteja realmente conectado ao site do banco, embora não seja uma solução infalível . Se você não vir um indicador HTTPS na página de login, poderá estar conectado a um site impostor em uma rede comprometida.
Por que usar uma rede Wi-Fi pública pode ser perigoso, mesmo ao acessar sites criptografados
“Não faça o seu banco on-line nem nada sensível em uma rede Wi-Fi pública.” O conselho está disponível, mas por que usar uma rede Wi-Fi pública pode ser perigoso? E o banco on-line não seria seguro, pois é criptografado?
Existem alguns grandes problemas com o uso de uma rede Wi-Fi pública. A natureza aberta da rede permite a espionagem, a rede pode estar cheia de máquinas comprometidas, ou – o mais preocupante – o próprio ponto de acesso pode ser malicioso.
Espionagem
A criptografia normalmente ajuda a proteger o tráfego da sua rede de olhares indiscretos. Por exemplo, mesmo se o seu vizinho em casa estiver dentro do alcance da sua rede Wi-Fi, ele não poderá ver as páginas da Web que você está visualizando. Esse tráfego sem fio é criptografado entre seu laptop, tablet ou smartphone e seu roteador sem fio. É criptografado com sua frase de acesso Wi-Fi.
Quando você se conecta a uma rede Wi-Fi aberta, como em uma cafeteria ou aeroporto, a rede geralmente não é criptografada – é possível dizer, porque você não precisa inserir uma frase secreta ao se conectar. Seu tráfego de rede não criptografado é claramente visível para todos no alcance. As pessoas podem ver quais páginas da Web não criptografadas estão sendo visitadas, o que você está digitando em formulários da web não criptografados e até mesmo quais sites criptografados estão conectados. Por isso, se você estiver conectado ao site do seu banco, eles saberão , embora eles não soubessem o que você estava fazendo.
Isso foi ilustrado de forma mais sensacional com o Firesheep , uma ferramenta fácil de usar que permite que pessoas sentadas em cafeterias ou em outras redes Wi-Fi abertas possam bisbilhotar as sessões de navegação de outras pessoas e sequestrá-las. Ferramentas mais avançadas, como o Wireshark, também podem ser usadas para capturar e analisar tráfego.
Protegendo a si mesmo : se você estiver acessando algo sensível no Wi-Fi público, tente fazê-lo em um site criptografado. A extensão do navegador HTTPS Everywhere pode ajudar com isso, redirecionando você para páginas criptografadas, quando disponíveis. Se você costuma navegar pelo Wi-Fi público, talvez queira pagar por uma VPN e navegar por ela quando estiver em Wi-Fi público. Qualquer pessoa na área local só poderá ver que você está conectado à VPN, não o que você está fazendo nela.
Dispositivos comprometidos
Laptops comprometidos e outros dispositivos também podem ser conectados à rede local. Ao conectar, certifique-se de selecionar a opção Wi-Fi de “Rede pública” no Windows e não as opções Rede local ou Rede de trabalho. A opção Rede pública bloqueia a conexão, garantindo que o Windows não esteja compartilhando arquivos ou outros dados confidenciais com as máquinas na rede local.
Também é importante estar atualizado sobre patches de segurança e usar um firewall como o do Windows. Todos os laptops comprometidos na rede local podem tentar infectá-lo.
Protegendo a si mesmo : Selecione a opção Rede pública ao se conectar ao Wi-Fi públic , mantenha seu computador atualizado e deixe um firewall ativado.
Pontos de Interesse Mal-intencionados
Mais perigosamente, o hotspot em que você se conecta pode ser malicioso. Isso pode acontecer porque o ponto de acesso da empresa foi infectado, mas também pode ser porque você está conectado a uma rede honeypot. Por exemplo, se você se conectar a “Wi-Fi público” em um local público, não poderá ter certeza absoluta de que a rede é realmente uma rede Wi-FI pública legítima e não configurada por um invasor na tentativa de enganar as pessoas se conectam.
É seguro entrar no site do seu banco no Wi-Fi público? A questão é mais complicada do que parece. Em teoria, deve ser seguro, porque a criptografia garante que você esteja realmente conectado ao site do seu banco e ninguém pode espionar.
Na prática, há uma variedade de ataques que podem ser realizados contra você se você se conectar ao site do seu banco em Wi-Fi público. Por exemplo, o sslstrip pode seqüestrar conexões HTTP de forma transparente. Quando o site redireciona para HTTPS, o software pode converter esses links para usar um “link HTTP parecido” ou “link HTTPS homográfico semelhante” – em outras palavras, um nome de domínio que parece idêntico ao nome do domínio real, mas que na verdade usa diferentes caracteres especiais. Isso pode acontecer de forma transparente, permitindo que um hotspot Wi-Fi mal-intencionado execute um ataque man-in-the-middle e intercepte o tráfego bancário seguro.
O WiFi Pineapple é um dispositivo fácil de usar que permite que os invasores configurem facilmente esses ataques. Quando o seu laptop tenta se conectar automaticamente a uma rede, ele se lembra: o WiFi Pineapple observa essas solicitações e responde “Sim, sou eu, conecte-se!”. O dispositivo é então construído com uma variedade de ataques man-in-the-middle e outros que ele pode executar facilmente.
Alguém esperto poderia configurar um ponto de acesso comprometido em uma área com alvos de alto valor – por exemplo, no distrito financeiro de uma cidade ou em qualquer lugar em que as pessoas façam login para fazer seus serviços bancários – e tentar coletar esses dados pessoais. É provavelmente incomum no mundo real, mas é muito possível.
Protegendo-se : não faça serviços bancários on-line ou acesse dados confidenciais em redes Wi-Fi públicas, se possível, mesmo que os sites estejam criptografados com HTTPS. Uma conexão VPN provavelmente protegeria você, por isso é um investimento valioso se você se encontrar regularmente usando o Wi-Fi público.
Se você usa conexões Wi-Fi públicas regularmente, talvez queira investir em uma VPN. Como bônus, uma VPN permitirá que você ignore qualquer filtragem e bloqueio de website em vigor na rede Wi-Fi pública, permitindo que você navegue no que desejar.
RECOMENDAÇÃO DE ESPECIALISTA:
Obtenha o máximo do seu orçamento com a agência marketing digital Planejador Web. A poderosa agência que facilita a criação, o gerenciamento e a otimização. Experimente por 1 mês sem compromisso de prazo de fidelidade, nossos planos são mensais, você sempre livre.
