O que é HTTPS?

O HTTPS é uma forma segura de enviar dados entre um servidor web e um navegador web.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir HTTPS
  • Explorar como o HTTPS funciona
  • Entender a importância do HTTPS
  • Aprender como obter o HTTPS em um site

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é HTTPS?

O Protocolo de transferência de hipertexto seguro (HTTPS) é a versão segura do HTTP, que é o principal protocolo usado para enviar dados entre um navegador web e um site. O HTTPS é criptografado para aumentar a segurança da transferência de dados. Isso é particularmente importante quando usuários transmitem dados sensíveis, como quando fazem login em uma conta de banco, serviço de e-mail ou provedor de seguro saúde.

Todos os sites, especialmente os que requerem credenciais de login, devem usar HTTPS. Nos navegadores web modernos, como o Chrome, os sites que não usam HTTPS têm uma indicação diferente dos que usam. Procure um cadeado verde na barra do URL que indica que a página web é segura. Os navegadores web levam a sério o HTTPS; o Google Chrome e outros navegadores sinalizam todos os sites que não usam HTTPS como sites não seguros.

Exemplo de segurança do Google Chrome

Como funciona o HTTPS?

O HTTPS usa um protocolo de criptografia para criptografar as comunicações. O protocolo é chamado de Transport Layer Security (TLS), embora anteriormente fosse conhecido como Secure Sockets Layer (SSL). Esse protocolo protege as comunicações usando o que é conhecido como infraestrutura de chave pública assimétrica. Este tipo de sistema de segurança usa duas chaves diferentes para criptografar as comunicações entre duas partes:

  1. A chave privada - esta chave é controlada pelo proprietário de um site e é mantida, como o leitor pode imaginar, privada. Essa chave reside em um servidor web e é usada para descriptografar informações criptografadas pela chave pública.
  2. A chave pública - esta chave está disponível para todos que desejam interagir com o servidor de forma segura. As informações criptografadas pela chave pública só podem ser descriptografadas pela chave privada.
E-book
Cinco maneiras de maximizar a segurança e o desempenho
e-book
Everywhere Security para todas as fases do ciclo de vida do ataque

Por que o HTTPS é importante? O que acontece se um site não tiver HTTPS?

O HTTPS evita que os sites tenham suas informações transmitidas de uma maneira que seja facilmente visualizada por qualquer pessoa que esteja espionando na rede. Quando as informações são enviadas por HTTP normal, as informações são divididas em pacotes de dados que podem ser facilmente “detectados” usando software livre. Isso torna a comunicação em um meio não seguro, como o Wi-Fi público, altamente vulnerável à interceptação. Na verdade, todas as comunicações que ocorrem por HTTP ocorrem em texto não criptografado, tornando-as altamente acessíveis a qualquer pessoa com as ferramentas corretas e vulneráveis a ataques on-path.

Com o HTTPS, o tráfego é criptografado de modo que, mesmo que os pacotes sejam rastreados ou interceptados de outra forma, eles aparecerão como caracteres sem sentido. Vejamos um exemplo:

Antes da criptografia:

Esta é uma sequência de texto que é completamente legível

Após a criptografia:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Em sites sem HTTPS, é possível que provedores de internet (ISPs) ou outros intermediários injetem conteúdo em páginas web sem a aprovação do proprietário do site. Isso geralmente assume a forma de publicidade, onde um provedor que procura aumentar a receita injeta publicidade paga nas páginas web de seus clientes. Sem surpresa, quando isso ocorre, os lucros dos anúncios e o controle de qualidade desses anúncios não são de forma alguma compartilhados com o proprietário do site. O HTTPS elimina a capacidade de terceiros, não moderados, de injetar publicidade no conteúdo da web.

Injeção de conteúdo de terceiros

Imagem da Ars Technica

Para uma lista completa dos benefícios que o HTTPS oferece, consulte Por que usar o HTTPS?

Cadastre-se
SSL gratuito incluído em qualquer plano da Cloudflare

Qual porta o HTTPS usa?

O HTTPS usa a porta 443. Isso diferencia o HTTPS do HTTP, que usa a porta 80.

(Em rede, uma porta é um ponto virtual baseado em software onde as conexões de rede começam e terminam. Todos os computadores conectados à rede expõem um número de portas para que possam receber tráfego. Cada porta está associada a um processo ou serviço específico, e protocolos diferentes usam portas diferentes).

De que outra forma o HTTPS é diferente do HTTP?

Tecnicamente falando, o HTTPS não é um protocolo separado do HTTP. É simplesmente o uso da criptografia TLS/SSL sobre o protocolo HTTP. O HTTPS ocorre com base na transmissão de certificados TLS/SSL, que verificam se um determinado provedor é quem diz ser.

Quando um usuário se conecta a uma página web, a página web envia seu certificado SSL que contém a chave pública necessária para iniciar a sessão segura. Os dois computadores, o cliente e o servidor, passam por um processo chamado handshake SSL/TLS, que é uma série de comunicações de ida e volta usadas para estabelecer uma conexão segura. Para se aprofundar na criptografia e no handshake SSL/TLS, leia sobre o que acontece em um handshake TLS.

Como um site começa a usar o HTTPS?

Muitos provedores de hospedagem de sites e outros serviços oferecem certificados TLS/SSL por uma taxa. Geralmente, esses certificados são compartilhados entre muitos clientes. Há certificados mais caros, que podem ser registrados individualmente em propriedades da web específicas.

Todos os sites que usam a Cloudflare recebem o HTTPS gratuitamente usando um certificado compartilhado (o termo técnico para isso é um certificado SSL multidomínio). A configuração de uma conta gratuita garantirá que uma propriedade da web receba proteção HTTPS continuamente atualizada. Você também pode explorar nossos planos pagos para certificados individuais e outros recursos. Em ambos os casos, uma propriedade da web recebe todos os benefícios do uso do HTTPS.