O HTTPS é a evolução do HTTP. Ou seja, é um protocolo de troca de informações com uma camada de segurança que impede que os dados sejam interceptados por terceiros.
Alguns sites podem ficar marcados pelo navegador como “Não seguro”, mesmo quando não existem arquivos maliciosos publicados.
Esta mensagem é apresentada quando os navegadores identificam que dados de visitantes podem ser solicitados e o site não possui certificação de segurança (SSL/TLS).
A princípio, as siglas HTTP, HTTPS, SSL e TLS podem assustar. Mas não se preocupe, explicaremos tudo nesse artigo.
O que é o HTTPS e para que serve
O HTTPS (Hypertext Transfer Protocol Secure ou Protocolo de Transferência de Hipertexto Seguro) é um protocolo seguro para troca de informações entre usuários e sites.
Resumindo, o HTTPS é a versão segura do HTTP.
Mas o que isso quer dizer na prática?
Quando entramos em algumas páginas na internet, estabelecemos um processo de comunicação. O site captura nosso IP e, em alguns casos, pode deixar cookies em nossa máquina.
Além disso, podemos fornecer informações pessoais e bancárias. E, para isso, precisamos navegar em um ambiente seguro, certo?
É aí que o HTTPS entra. Ele utiliza uma camada de segurança que criptografa as nossas informações, impedindo que sejam interceptadas por criminosos.
Por isso, o HTTPS serve para nos proteger contra espiões e ataques man-in-the-middle (MitM), ou seja, quando os dados trocados são interceptados por terceiros.
A camada de segurança desse protocolo também protege domínios legítimos contra ataques de falsificação do sistema de nomes de domínio (DNS).
Como é o funcionamento do HTTPS
O HTTPS utiliza um método super avançado de criptografia SSL/TLS. Nos próximos tópicos, temos explicação sobre essas siglas. Continue a leitura para saber.
Mas vamos à explicação do funcionamento do HTTPS.
Quando estamos em um dispositivo eletrônico e acessamos um site, o servidor que hospeda essa página recebe uma requisição.
Por sua vez, esse servidor analisa esse pedido de acesso e envia uma resposta. Caso esteja tudo certo, ele envia informações necessárias para a abertura do site.
Aprofundando mais um pouco, o HTTPS protege a comunicação entre usuário e sites usando uma infraestrutura de chave pública assimétrica.
Esse método utiliza uma assinatura de dados com duas chaves diferentes: uma chave pública e uma chave privada.
Criptografia e descriptografia
A partir dessas chaves, acontece a criptografia e descriptografia dos dados, da seguinte forma:
[1] O navegador (exemplo: Chrome) estabelece uma conexão TCP (Transmission Control Protocol, ou seja, protocolo de controle de transmissão) com o servidor onde o site está hospedado.
O TCP é um protocolo de comunicação que garante a entrega dos dados de ponta a ponta. É ele que permite que dispositivos troquem mensagens na internet.
[2] O navegador envia um “client hello” (é como se o navegador “cumprimentasse” o servidor), com um conjunto de algoritmos de criptografia, para o servidor com a versão do SSL/TLS mais recente.
[3] O servidor envia uma resposta com o “server hello”. Nesse momento o navegador verifica se poderá suportar os algoritmos e a versão do SSL/TLS.
[4] O servidor envia o certificado SSL, que contém a chave pública, nome do host, data de expiração entre outras informações.
[5] O cliente (navegador) valida o certificado e gera uma chave de sessão e a criptografia utilizando a chave pública.
[6] O servidor, por sua vez, recebe a chave de sessão criptografada e utiliza a chave privada para descriptografá-la.
[7] Aqui, tanto o navegador quanto o servidor estão com a mesma chave de sessão (criptografia simétrica). Então, os dados são enviados em um canal bidirecional e seguro.
Onde fica o HTTPS e como utilizar em um site
O HTTPS, geralmente, fica ao lado do campo do endereço nos navegadores. Além do “https://” que aparece antes do www, também costumamos encontrar um cadeado fechado ao lado, indicando que a navegação naquela página é segura.
Confira na imagem, para entender melhor:
Para usar o HTTPS em sua página, ou seja, com o domínio, você precisa de um certificado SSL ou TLS instalado no site.
Por que HTTP não é seguro
Quando o site utiliza o protocolo HTTP sem a camada de segurança “S” significa que os dados trocados entre o navegador e o servidor podem ser interceptados por alguém.
Isso quer dizer que criminosos podem ter acesso a tudo que você envia para o site, como dados pessoais e bancários, por exemplo.
HTTP | HTTPS |
É um protocolo de transferência de hipertexto. É menos seguro, pois os dados podem ser vulneráveis a hackers. | É um protocolo de transferência de hipertexto com uma camada de segurança. Ele foi projetado para impedir que hackers acessem informações. |
Utiliza, por padrão, a porta 80. | Utiliza a porta 443 como padrão. |
É uma opção aceitável para sites projetados para consumo de informações, como blogs. | É a opção mais segura para sites que precisam coletar informações privadas, como número de cartão de crédito. |
O HTTP opera no nível TCP/IP. | O HTTPS não possui nenhum protocolo separado. Ele opera usando HTTP, mas usa uma conexão TLS/SSL criptografada. |
Tratando-se de SEO, não melhora as classificações de pesquisa. | O HTTPS contribui para melhorar as classificações de pesquisa nos buscadores. |
Vulnerável a interceptações por criminosos. | É seguro, pois os dados são criptografados. |
Diferença entre HTTP e HTTPS
Confira a tabela abaixo e conheça as principais diferenças entre o HTTP e o HTTPS:
O que é Certificado SSL
O SSL é a sigla para Secure Sockets Layer. Ele é um é um protocolo de criptografia de dados.
Esse protocolo de segurança cria uma conexão criptografada entre um servidor web (onde o site/projeto fica hospedado) e um navegador da internet.
Ele é essencial para aplicações da internet para proteger os dados e transações dos clientes.
No entanto, essa tecnologia tem sido substituída pelo TLS.
O que é TLS
O TLS (Transport Layer Security) é a evolução do SSL e foi projetado para impedir que dados de usuários sejam capturados ou adulterados.
Ele é um protocolo que criptografa informações de ponta a ponta, permitindo uma navegação segura entre sites, e-mails, transferências de arquivos, videoconferência, mensagens de voz, texto e outras aplicações.
Confira, na imagem abaixo, como o certificado de segurança funciona na prática:
Relação entre SSL/TLS e HTTPS
Essas tecnologias são complementares. No entanto, o HTTPS depende do SSL/TLS para funcionar. Todavia o SSL/TLS não depende do HTTPS.
Sendo assim, podem existir serviços de e-mail (como o IMAP) que funcionam com SSL/TLS, por exemplo. Mesmo isso não sendo uma regra.
Então, quando instalamos um certificado SSL/TLS, a transmissão de dados é configurada para ser efetuada via HTTPS.
HTTPS e SEO
O SEO (Search Engine Optimization ou otimização para os mecanismos de busca) é um conjunto de estratégias para alcançar o topo nos resultados dos sites de pesquisa, como o Google.
Os motores de busca preconizam a experiência do usuário. Por isso, ter um site otimizado, com um bom conteúdo e seguro para navegação são requisitos na hora de aparecer como resultado de pesquisa em uma posição privilegiada.
Portanto, habilitar o certificado de segurança para que o seu site opere com o HTTPS pode ajudar no SEO do seu site.
Como forçar o acesso HTTPS no meu site
A Task ativa automaticamente o certificado SSL gratuitamente (ZeroSSL) nos sites que hospedamos em ambiente Linux. Não é preciso contratar IP fixo ou realizar a compra de um certificado.
No entanto, em alguns casos é preciso fazer a instalação manualmente. A sua empresa de hospedagem de site pode te ajudar com isso.
Após a configuração do certificado SSL no servidor, talvez você precise realizar alguns ajustes para que seu site seja acessado 100% sob ambiente seguro. Para isso acontecer, podem ser necessárias duas configurações: uma para o acesso às páginas e outra para os itens que estão dentro das páginas.
1) Acesso às páginas
Muitas vezes, quando um site ou uma página é acessada, por padrão, o navegador pode carregá-la sem https, mesmo se houver um certificado SSL instalado.
Se isso acontecer, basta realizar uma configuração que irá forçar este acesso com https.
Para tal, basta acessar o FTP ou gerenciador de arquivos de seu site e, na raiz, edite ou crie um arquivo com nome .htaccess, e cole no início, o seguinte código:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
2) Itens dentro das páginas
As URLs dos objetos das páginas precisam estar referenciadas com https na frente, ou então referenciadas com URLs relativas, caso contrário, o navegador de internet exibirá um aviso sobre página não segura e poderá não carregá-la adequadamente.
Muitos sites são criados em uma linguagem própria, ou seja, não usam nenhum CMS como o WordPress, por exemplo.
Neste caso, é necessário editar os arquivos do site diretamente e alterar as URLs de imagens, estilos css, javascripts e outros, conforme exemplo ilustrado abaixo.
de
para
Saiba como certificar segurança HTTPS na sua hospedagem WordPress
Como dito no tópico anterior, o primeiro passo é habilitar a chave SSL em seu site.
Clientes da Task hospedados em ambiente Linux já possuem o certificado instalado automaticamente.
Após a configuração do certificado SSL no servidor, precisamos atualizar as URLs para o uso do HTTPS.
Existe a possibilidade de realizar a alteração pelo banco de dados, mas dependendo da complexidade do site, o trabalho será enorme.
Sendo assim, sugerimos o uso do plugin “Really Simple SSL”, que é capaz de atualizar todos os links de uma só vez.
Com mais de 5 milhões de instalações, este é o plugin mais utilizado.
Caso tenha dúvidas para instalar, siga o tutorial publicado em nosso Wiki.
Após a instalação e ativação do plugin, você irá ver a seguinte tela:
Se nenhum erro for apresentado, permaneça com a opção “Flush rewrite rules on activation (deselect when you encounter errors) marcada e clique em “Go ahead, activate SSL!”.
Feito isso, quando a mensagem “SSL activated! Don’t forget to change your settings in Google Analytics and Webmaster tools” for apresentada, é sinal que as URLs foram atualizadas.
Leia também:
Webmail seguro: utilização de HTTPS e melhores práticas de segurança
Hospedagem segura: como aumentar a segurança do site?
Assista:
O que achou deste artigo sobre o uso do HTTPS? Faltou alguma informação importante? Tem alguma dúvida? Então, aproveite para deixar seus comentários abaixo e ajude a Task a melhorar ainda mais os serviços e informações.
This Post Has 0 Comments