Qual a diferença entre HTTP e HTTPS?

Dicas úteis da NordVPN.

A tradicional indicação “http”, utilizada no início de todos os endereços de websites (por vezes sem o “www” que normalmente se lhe segue) foi nos últimos anos substituída por “https”. Os principais browsers (navegadores) de internet destacam se um site é http ou https. Facebook, Gmail, YouTube e todos os principais sites que visitamos diariamente já utilizam HTTPS. Esta nova indicação refere-se a um protocolo de segurança: os sites “https” são mais seguros que os outros. Mas em que consiste a oposição HTTP vs HTTPS? Vejamos em seguida.

HTTP

HTTP (Hypertext Transfer Protocol) é um protocolo de comunicação utilizado para transmitir informação através da Internet, entre computadores. Desenvolvida por Tim Berners-Lee e pela sua equipa no CERN, esta tecnologia é a ferramenta de base que sustenta o funcionamento da World Wide Web tal como a conhecemos.

A navegação na internet baseia-se na comunicação entre dois computadores. Ao digitares um endereço num navegador e carregares “Enter”, estás a ordenar ao computador que entre em contacto com o computador onde está armazenada aquela informação. Ao receber o pedido, o computador remoto irá responder com a informação que tem disponível para apresentar. O computador do utilizador recebe essa informação e apresenta-a sob a forma de uma página web.

No essencial, esta lógica é aplicável a todas as comunicações online, independentemente das nuances e situações específicas com que nos possamos deparar. Por exemplo, ao acederes a um site sujeito a restrições geográficas, se o computador que recebe o pedido identificar que o computador que faz o pedido está num país a partir do qual não deve receber visitas, irá apresentar uma informação diferente da que apresentaria a um computador no seu próprio país – nomeadamente, que o visitante não poderá aceder.

Mas o protocolo HTTP é, por natureza, vulnerável a ataques.

Vulnerabilidades do HTTP: Man-in-the-Middle

A vulnerabilidade mais comum do protocolo HTTP, e que se subdivide em tipos específicos de interceção, é a “man-in-the-middle” (literalmente, “homem no meio”): uma terceira pessoa, não autorizada, interceta uma comunicação HTTP entre dois computadores sem que os seus utilizadores se apercebam. Pode fazê-lo para espiar o conteúdo das mensagens trocadas, aceder a dados pessoais, nomes de utilizador e passwords, etc. O atacante poderá inclusivamente inserir mensagens na comunicação, dando azo a ataques de phishing, em que o utilizador não se apercebe que está a ser manipulado. Os ataques man-in-the-middle são particularmente fáceis de executar em redes wi-fi públicas, não encriptadas.

SSL e TLS: reforçar e defender as comunicações HTTP

Para obviar aos inconvenientes do http em termos de segurança, foram desenvolvidas tecnologias de encriptação das comunicações através da internet. Através delas, qualquer pessoa pode aceder, por exemplo, ao seu Facebook ou ao seu Gmail sem temer os ataques mais básicos de hackers (se bem que os mais avançados cibercriminosos tenham acesso a outros recursos).

SSL significa Secure Sockets Layer e é uma espécie de “versão 1.0” do protocolo de segurança comum e extensível a toda a web (assim os webmasters o adotem). Atualmente está a ser substituído pela “versão 2.0”, o TLS (Transport Layer Security). A literatura sobre cibersegurança refere-se já atualmente à tecnologia SSL/TLS e é de esperar que o SSL seja em breve remetido para os livros de História.

Ambas as tecnologias baseiam-se numa lógica de troca de certificados entre o computador do utilizador e o servidor que recebe o pedido. Ao evocar ou tentar aceder a um site com um certificado digital baseado em SSL/TLS, o site irá apresentar ao cliente um conjunto de métodos de encriptação. O computador irá escolher um método e proceder-se-á a uma troca de certificados que permitem a cada computador assegurar-se que o outro é quem afirma ser, e dessa forma encriptar a informação trocada de modo a tornar-se inacessível a terceiros.

O que é, então, o HTTPS?

O HTTPS (Hypertext Transfer Protocol Secure) mais não é do que a aplicação de uma tecnologia SSL/TLS a uma comunicação de natureza HTTP. Os sites que dispõem do serviço implementam automaticamente a tecnologia a todos os visitantes, mesmo aos que digitarem “HTTP” no seu browser; afinal, a esmagadora maioria dos sites já dispensa que o internauta escreva o endereço completo (HTTPS://www), otimizando automaticamente a comunicação e a conexão. Os browsers apresentam o ícone de um cadeado junto ao endereço dos sites que disponibilizam esta tecnologia de certificação. Nalguns casos, o browser pode mesmo desaconselhar ou impedir o acesso a um site sem esta tecnologia

HTTP vs HTTPS: veja as diferenças

Critério de comparaçãoHTTPHTTPS
Significado“HyperText Transfer Protocol”“HyperText Transfer Protocol Secure”
Endereço do URLhttp://https://
SegurançaNãoSim
OperaçãoLayer (camada) de aplicaçãoLayer (camada) de transporte
EncriptaçãoNãoSim
CertificadosNão exigidosNecessários
Porta de comunicação80443
Tipos de sitesFóruns, sites educativos e outros com risco baixo ou nulo de ataques ou roubo de dados; sites antigosSites bancários, Redes sociais, comunicação social e – cada vez mais – a generalidade da internet

E se um site não tiver HTTPS?

Deverás tomar todas as precauções ao aceder a um site sem protocolo HTTPS. Atualmente, só sites amadores ou maliciosos se permitem estar na internet sem esta tecnologia. Uma forma segura de acederes é levando contigo um “escudo protetor” sob a forma de uma Virtual Private Network (VPN) como a NordVPN, que garante a encriptação dos teus dados e mantém os hackers afastados.

Artigo redigido pela NordVPN