If you're seeing this message, it means we're having trouble loading external resources on our website.

Se você está atrás de um filtro da Web, certifique-se que os domínios *.kastatic.org e *.kasandbox.org estão desbloqueados.

Conteúdo principal

Curso: Segurança na Internet > Unidade 1

Lição 11: Protocolos de segurança na internet
Faculdade, carreiras e mais
Segurança na Internet
Segurança de dados on-line
Protocolos de segurança na internet
© 2024 Khan AcademyTermos de usoPolítica de privacidadeAviso de cookies

HTTP Seguro (HTTPS)

Google Sala de Aula
Quando navegamos pela internet, quem pode ver o que estamos lendo? Quem pode ver o texto que digitamos nos formulários?
Com o HTTP padrão, é possível que: criminosos interceptem pacotes; ISPs monitorem o tráfego; agências governamentais grampeiem os cabos de fibra que formam a espinha dorsal da internet. Usando softwares conhecidos de exploração de vulnerabilidades, é possível ler o conteúdo de qualquer site e até mesmo inserir neles conteúdos próprios.
É por isso que cada vez mais os sites utilizam HTTPS (Hypertext Transfer Protocol Secure) para proteger a privacidade de seus usuários e impedir a manipulação de dados. O HTTPS também é conhecido como HTTP sobre TLS, porque ele é implementado por meio da criptografia das solicitações e respostas HTTP com o protocolo TLS.

URLs com HTTPS

Uma conexão HTTPS começa com a URL na barra de endereços. As conexões HTTP padrão têm URLs que se iniciam com "http://". As conexões HTTP seguras têm URLs que se iniciam com "https://".
⬆ Dê uma olhada agora na barra de endereços. Você deve ver uma URL que se inicia com "https://www.khanacademy.org/". Se ela se iniciar com "khanacademy.org/", dê um clique duplo na barra de endereços para ver a URL completa.
É claro, a maioria dos usuários vai digitar apenas o domínio, por exemplo "khanacademy.org". E pode até acontecer de usuários mais experientes digitarem uma URL como "http://khanacademy.org". Mas, quando um site tem suporte para HTTPS e quer garantir que todos os seus usuários estejam recebendo uma conexão segura, ele deve redirecionar todas as solicitações para a versão HTTPS do site.
🔍 Experimente digitar algumas URLs dos seus sites preferidos em uma nova guia e examine a URL final na barra de endereços assim que o site for carregado. Algum deles fez o redirecionamento para HTTPS? Algum deles está usando HTTP quando, na verdade, você gostaria que ele estivesse usando HTTPS?

Conexões HTTPS

Quando o navegador carrega uma URL que começa com "https", ele inicia o processo de estabelecimento de uma conexão segura sobre TLS. (Precisa se lembrar do processo? Reveja nosso artigo sobre TLS.)
No início desse processo, o navegador deve verificar o certificado digital do domínio. Há diversas formas de um certificado ser inválido e os navegadores geralmente exibem os erros de certificado.
Veja o que acontece quando o Chrome descobre que um certificado foi emitido por uma autoridade de certificação na qual ele não confia:
Captura de tela do Chrome carregando um site com um certificado inválido. A barra de endereço do Chrome exibe um ícone de alerta vermelho e o texto "Não seguro". Em vez do conteúdo da página, o Chrome exibe um aviso: "Sua conexão não é privada. Criminosos podem estar tentando roubar suas informações a partir de untrusted-root.badssl.com (por exemplo, senhas, mensagens ou cartões de crédito)". Também é exibido o código do erro: "NET::ERR_CERT_AUTHORITY_INVALID".
Se o certificado for válido e tudo correr bem na configuração TLS, a maioria dos navegadores vai mostrar um cadeado na barra de endereços. Esse cadeado indica uma conexão segura via HTTPS.
Veja o ícone do cadeado no Firefox:
Captura de tela do Firefox carregando um site seguro. A barra de endereços exibe um ícone de informação, um ícone de um cadeado verde e a URL "https://www.google.com".
Se você clicar no ícone do cadeado, vai obter ainda mais informações sobre a segurança do site:
Captura de tela do Firefox carregando um site seguro. A barra de endereços exibe um ícone de informação, um ícone de um cadeado verde e a URL "https://www.google.com". Em uma janela pop-up exibida sobre o ícone de informação está escrito: "Informações do site do www.google.com, Conexão: Conexão Segura".

Os benefícios do HTTPS

Uma conexão HTTPS garante que somente o navegador e o domínio protegido vejam os dados das solicitações e respostas HTTP. Bisbilhoteiros ainda poderão ver que um determinado endereço de IP está se comunicando com outro domínio/IP, bem como quanto tempo essa conexão dura, mas eles não conseguirão ver o conteúdo da comunicação, o que inclui o caminho completo da URL, o HTML da página e qualquer texto enviado em formulários. Agora mesmo, por exemplo, um bisbilhoteiro pode saber que você está visitando o site khanacademy.org, mas ele não saberá que você está lendo um artigo sobre HTTPS.
O HTTPS também impede a manipulação do conteúdo do site. Quando um site está protegido por uma conexão HTTP padrão, os pacotes podem ser interceptados e seu conteúdo substituído. Se um criminoso, ou até mesmo uma agência do governo, interceptar visitas a um site de notícias, eles podem facilmente plantar notícias falsas. O TLS inclui um mecanismo para detectar alterações nos pacotes, portanto as conexões HTTPS são resistentes a manipulações.
Devido aos seus imensos benefícios, muitas organizações acreditam que qualquer site deveria oferecer todas as suas conexões via HTTPS. Desde fevereiro de 2019, aproximadamente metade da lista de um milhão dos sites mais visitados usa HTTPS como padrão. Será que um dia esse número chegará 100%? Você pode nos ajudar a chegar lá pedindo aos seus sites preferidos que usem HTTPS, ou tornando-se você mesmo um desenvolvedor web especializado em segurança.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Você ficou com alguma dúvida sobre esse tópico? Adoraríamos responder! Basta nos perguntar na área de dúvidas abaixo!

Quer participar da conversa?

Entrar
Nenhuma postagem por enquanto.
Você entende inglês? Clique aqui para ver mais debates na versão em inglês do site da Khan Academy.