Quem aí nunca teve medo de colocar os dados do cartão de crédito em uma compra online? Eu já e aposto que você também já se sentiu assim. E passar por isso é sem dúvida algo muito comum em nossas vidas, já que quase tudo hoje pode ser realizado no mundo virtual – situação que ficou ainda mais evidente durante a pandemia do coronavírus.
A nossa dependência em relação ao mundo virtual tem, porém, um lado muito ruim: os criminosos que se aproveitam da internet para roubar os nossos dados e, se conseguirem, o nosso dinheiro também.
É por isso que é imprescindível ficarmos muito atentos a quais sites acessamos e à segurança que eles nos oferecem – e uma maneira fácil de fazer isso é verificar se aparece a sigla HTTPS no endereço eletrônico do site.
Como o HTTPS é muito mais do que uma sigla e é extremamente importante para navegarmos na internet com segurança, neste blog post nós vamos explicar o que é o HTTPS e o como ele funciona.
O que é HTTPS?
HTTPS é a sigla para Hypertext Transfer Protocol Secure, ou Protocolo de Transferência de Hipertexto Seguro em português – como é possível ver, a diferença no nome em relação ao HTTP reside na questão da segurança. Isso quer dizer que a função básica do protocolo HTTPS é proporcionar um canal seguro para a transmissão das informações entre o usuário e o servidor, ou entre servidores, garantindo que os dados não sejam interceptados e lidos por hackers. Ou seja, HTTPS é a versão segura do protocolo HTTP.
A origem do HTTPS
A transmissão de dados começou com o protocolo HTTP, mas uma das coisas que o HTTP não possui é uma forma de proteger os dados que são transmitidos da interpretação de terceiros. Fazer uma compra ou uma transação bancária online por esse protocolo é algo extremamente perigoso e, por isso, uma conexão desprotegida com esse tipo de informação é uma isca fácil para os criminosos.
Vendo isso como uma brecha e também como uma oportunidade, foi que a Netscape Communications Corporation criou em 1994 um protocolo de segurança para a transmissão de dados de cartões de crédito de forma segura em uma conexão em rede. Nascia então o HTTPS.
HTTPS: uma questão de segurança
Eu não sei se você já percebeu, mas na frente da URL de um site, no início da barra de endereço do seu navegador, pode aparecer um cadeado fechado antes. Esse cadeado significa que o navegador possui certificado de segurança e que, portanto, seus dados estão protegidos.
Princípios básicos de segurança do HTTPS
O protocolo HTTPS se baseia em três princípios básicos de segurança:
- Confidencialidade - consiste em garantir que os dados transmitidos sejam somente acessados e visualizados por quem está autorizado.
- Integridade - certifica que os dados que foram transmitidos mantenham-se originais, completos e inalterados durante todo o percurso, desde o início até o final da conexão.
- Autenticidade - certifica que o agente que está requisitando o acesso à determinada informação é realmente quem ele alega ser.
Como o HTTPS funciona?
De forma bem simplificada, o protocolo HTTPS criptografa os dados para que a comunicação seja segura. Para implementar a criptografia e aplicar outros fatores de segurança, existem dois protocolos: o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security).
Vamos ver a seguir alguns elementos importantes que compõem a segurança do protocolo HTTPS.
Criptografia
A criptografia – técnica de escrever mensagens em código – é o elemento chave da segurança do protocolo HTTPS. Ela faz com que o texto transmitido durante o processo de comunicação não fique em sua forma pura e seja transformado em uma combinação de caracteres aleatórios, impedindo a leitura dos dados caso a transmissão seja interceptada por um terceiro.
Existem dois tipos de criptografia, que variam de acordo com o tipo de chave usada: a criptografia simétrica e a criptografia assimétrica.
Criptografia simétrica
Na criptografia simétrica são utilizadas duas chaves idênticas, tanto para criptografar quanto para descriptografar a mensagem – essas chaves iguais também são conhecidas como chaves de sessão.
Em uma analogia, é como se o remetente (cliente) e o destinatário (servidor) trocassem uma carta e o texto ali escrito estivesse em uma língua diferente, que somente os dois soubessem como traduzir. Caso algum terceiro tenha acesso a essa mensagem e queira ler o que está escrito ali, não vai entender nada, vai simplesmente ver letras, números e símbolos em uma combinação impossível de entender.
Nesse método, o remetente tem que necessariamente compartilhar a chave com o destinatário, para que assim o receptor final possa interpretar a mensagem. Só que isso acaba sendo uma vulnerabilidade, já que para o receptor ter acesso à chave e decodificar, o proprietário tem que entregá-la. Isso poderia ser feito pessoalmente, o que pode ser complicado caso estejam distantes, ou por e-mail ou mensagens online, o que também seria arriscado, pois esses meios podem ser interceptados. O compartilhamento do segredo na criptografia simétrica é, portanto, arriscado, sendo uma opção para dados mais simples e menos críticos, e exige que a troca de chaves seja feita em um canal seguro.
Criptografia assimétrica
Diferentemente do método anterior, a criptografia assimétrica – também conhecida como criptografia de chave pública – utiliza um par exclusivo de chaves diferentes, uma pública e uma privada, totalmente independentes uma da outra. Essa mudança acabou eliminando a vulnerabilidade em relação ao compartilhamento do segredo de (de)codificação.
Como o nome diz, a chave pública está disponível a todos, qualquer pessoa pode ter acesso a ela. Já a chave privada é exclusivamente de um usuário ou uma instituição e ela deve ficar oculta. Para entendermos melhor, pense que a chave pública é o número da sua conta corrente e qualquer um pode ter acesso a ele. E a chave privada é a senha que você utiliza para fazer as transações na sua conta bancária, ou seja, é uma informação restrita ao proprietário.
Mas como acontece o processo de criptografia pelo método assimétrico, apesar de as chaves serem diferentes? O que acontece é que para criptografar os dados com uma chave, seja ela pública ou privada, só é possível descriptografá-los com a outra chave do par. Ou seja, o que uma criptografa, a outra descriptografa.
Quando a chave pública é utilizada para criptografar a mensagem original e a privada para decodificar, a intenção é garantir a confidencialidade da mensagem, pois somente o destinatário pode interpretar a informação. Por sua vez, quando a criptografia é feita com a chave privada e a descriptografia com a pública, a intenção é garantir a autenticidade, pois mais ninguém além do proprietário tem acesso – um exemplo é a assinatura digital.
Para resumir, enquanto a criptografia assimétrica é mais segura, a criptografia simétrica é mais rápida. Elas podem, inclusive, ser utilizadas juntas, sendo essa combinação chamada de criptografia híbrida.
O protocolo SSL
A Netscape Communications Corporation criou, na década de 90, o protocolo SSL (Secure Sockets Layer) como um certificado de segurança padrão da web. O SSL adota um protocolo de reconhecimento de segurança para estabelecer uma comunicação segura entre clientes e servidores.
Sobre a sua arquitetura, o SSL é uma camada do protocolo de rede e está localizado entre a camada de aplicação e a de transporte.
No protocolo SSL, cliente e servidor têm definidos os algoritmos que serão utilizados na criptografia e as chaves de segurança da sessão e, a partir disso, o cliente é capaz de autenticar o servidor e o servidor pode solicitar o certificado do cliente.
Por meio da aplicação desse protocolo, as informações da requisição e da resposta trocadas na comunicação usando o HTTPS – por exemplo, dados bancários, senhas e nomes de usuários em uma autorização de acesso, e o site a ser acessado – são tanto criptografadas quanto descriptografadas pelo SSL e somente as duas partes envolvidas na troca das mensagens pode interpretá-las. Assim, mesmo que algum hacker intercepte as informações, será impossível interpretá-las ou modificá-las.
As informações que o certificado SSL verifica são:
- para quem (usuário/instituição/dispositivo) o certificado foi emitido;
- datas de emissão e de validade;
- o nome do domínio;
- os subdomínios associados;
- a chave pública.
Ou seja, se o navegador estiver ativado para o protocolo SSL e o servidor tiver um certificado digital de segurança, eles poderão fazer uma comunicação segura por meio do SSL. Caso isso não se aplique, a troca de informações não está protegida. Inclusive, se você quiser acessar um site que não possui esse certificado, o Google Chrome te mostra um alerta com a seguinte mensagem “a conexão com esse site não é segura”.
O protocolo SSL teve as seguintes versões:
- SSL 1.0 - a primeira versão, de 1994, possuía diversas vulnerabilidades e falhas de segurança, o que impossibilitou o seu lançamento ao público;
- SSL 2.0 - a versão posterior foi lançada ao público em 1995 e possuía melhorias em relação à sua antecessora, mas ainda assim possuía muitos erros;
- SSL 3.0 - a versão de 1996 foi aperfeiçoada com a reformulação da arquitetura do protocolo, que permitiu atualizações e revisões de segurança.
Apesar de todas essas alterações, a última versão do protocolo SSL ainda apresentava vulnerabilidades e não tinha capacidade suficiente para dar conta do aumento vertiginoso do tráfego e da consequente demanda de segurança dos dados.
O protocolo TLS
O TLS (Transport Layer Security) é simplesmente a versão sucessora do SSL, porém mais segura e atualizada. A sua função também é garantir a segurança – a privacidade, a integridade e a autenticidade dos dados – durante a comunicação em rede.
A mudança de nomenclatura, de SSL para TLS, foi para desassociar o protocolo TLS da Netscape, que criou o SSL. O TLS passou pelas versões TLS 1.0 (1999), TLS 1.1 (2006), TLS 1.2 (2008) e TLS 1.3 (2018), a mais recente.
O protocolo TLS atua entre a camadas de aplicação e a de transporte e possui duas camadas: o Protocolo de Registro e os Protocolos de Handshaking.
O TLS utiliza o Protocolo de Registro para encapsular as mensagens dos protocolos de aplicação como o HTTP, o FTP (File Transfer Protocol) e o SMTP (Simple Mail Transfer Protocol), por isso é amplamente utilizado em navegadores, e-mails, mensagens de texto e voz sobre IP (VoIP). Basicamente, o Protocolo de Registro realiza as operações necessárias para garantir a segurança da conexão.
O Protocolo Handshake atua na negociação dos parâmetros de segurança. Ele negocia os algoritmos que serão utilizados na encriptação e as chaves criptográficas antes da transmissão ou na recepção de dados por parte de um protocolo de aplicação. Além disso, permite a autenticação entre cliente e servidor.
Diferença entre SSL e TLS
A grande diferença entre o SSL e o TLS diz respeito ao handshake e à rapidez com que esse processo acontece nos dois protocolos. Normalmente, o handshake no SSL envolve várias viagens de ida e volta à medida que ocorre a autenticação e a troca de chaves, o que adicionou latência às conexões.
No TLS, o handshake é mais rápido, pois a cada nova atualização o foco foi reduzir a latência. Na sua última versão, o TLS 1.3, o handshake é feito com uma só viagem de ida e volta, e uma das coisas que permitiu isso foi a redução do número de conjuntos de criptografia que ele suporta, de quatro para dois algoritmos.
Por que usar o HTTPS?
Os principais motivos para adotar o protocolo HTTPS são:
- Mais segurança
O protocolo HTTPS garante a privacidade, a autenticidade e a integridade dos dados.
- Mais credibilidade
Se você tem uma empresa, a atenção em relação à segurança do seu site deve ser redobrada, porque isso reflete na confiança que o usuário tem no seu site e, portanto, na credibilidade da sua marca. Ter um domínio HTTPS mostra ao usuário que você está preocupado com a segurança dele além da sua.
- Melhor posicionamento no Google
Outro motivo muito importante para adotar o HTTPS é que esse protocolo é um dos fatores que o Google considera ao ranquear o site na exibição dos resultados de uma busca.
Como proteger o seu site?
Ao mesmo tempo que a internet nos oferece tantos benefícios, estar conectado também é um risco, já que estamos sujeitos a muitos cibercrimes – e a interceptação e o roubo de dados durante a transmissão de informações é uma das piores coisas que pode nos acontecer porque isso pode levar a prejuízos econômicos gigantescos.
Porém, apesar de termos que lidar diariamente com esse cenário de insegurança, é possível sim se preparar contra os ataques cibernéticos e preservar a segurança do seu site e a do seu cliente – estamos falando do Edge Firewall da Azion, nosso pacote de soluções de segurança extrema, que conta com DDoS Protection, Network Layer Protection e Web Application Firewall.
Web Application Firewall da Azion
Dentre as diversas opções de segurança no nosso Edge Firewall, uma delas atua especificamente no processo de troca de informações durante o protocolo HTTPS: o nosso Web Application Firewall (WAF).
Uma das ações do nosso WAF é fazer com que toda requisição HTTP ou HTTPS seja comparada a um conjunto de regras de bloqueio altamente customizável e recebe uma classificação baseada na metodologia de requisitos de scoring. Com base na classificação recebida, a requisição será lançada ou bloqueada diretamente em nossos servidores edge antes que a ameaça consiga atingir a sua aplicação web.
Aqui na Azion, acreditamos que a segurança online é um elemento crucial para o sucesso de uma empresa. Então, se você quer proteger o site da sua empresa e os seus usuários com o que há de mais avançado em segurança online, conheça nossos produtos e serviços e fale com o nosso time de vendas.
HTTPS: uma revolução
A evolução tecnológica trouxe para o mundo virtual, principalmente com os smartphones e a IoT, muitas práticas que relativamente há pouco tempo eram feitas presencialmente – e uma delas, que cada vez mais tem ganhado novos adeptos, é fazer transações online, como compras ou movimentações bancárias. E é exatamente por isso que a segurança online é um tema crítico tanto para usuários comuns quanto para empresas, e que merece muito a nossa atenção, porque uma falha pode literalmente levar a uma catástrofe.
Portanto, um dos grandes benefícios do protocolo HTTPS é que ele possibilitou que todas essas ações fossem feitas de maneira mais segura, aumentando a confiança que o usuário e as empresas têm na internet – sendo ele, provavelmente, um dos principais gatilhos para o crescimento e a popularização da internet e do e-commerce.
Mais do que ser sinônimo de segurança na rede e um marco tecnológico, o HTTPS pode ser considerado também uma importante peça da engrenagem das relações sociais, já que o comportamento moderno – e praticamente quase tudo em nossa vida – depende inquestionavelmente dessa ferramenta de comunicação chamada internet.