Não irei entrar em minúcias técnicas sobre os protocolos HTTP e HTTPs, mas irei explorar a diferença entre os dois. Toda conexão que ocorre entre você e o site que você acessa é passível de interceptação de dados. Através do protocolo HTTP esses dados trafegam de forma "legível" ao interceptador. Já pelo protocolo HTTPs os dados trafegam criptografados, impedindo de que o interceptador entenda seu conteúdo. Nesse caso, somente o emissor e o receptor possuem uma chave capaz de decodificar todo o conteúdo trafegado. Um site que faz uso do HTTPs não precisa ser necessariamente 100% HTTPs, a exemplo de sites bancários nos quais suas páginais iniciais são acessadas através do HTTP (ex.: http://www.bb.com.br) pois ali não irá trafegar nenhum dado importante. Ao acessar, no mesmo banco, a página específica para digitar a sua senha, verifique novamente a URL, o protocolo deverá ter mudado para HTTPs e normalmente é representado por um pequeno cadeado, mas isso depende de navegador para navegador.
O protocolo HTTPs é normalmente utilizado para a maioria dos casos em que é necessário informar algum dado sensível, como senhas, número de cartões de crédito, informações bancárias entre outros. E também ajuda a garantir que aquele site é realmente aquele site. Depende do navegador que estiver utilizando, mas ao clicar no ícone do cadeado irá aparecer algumas informações, por vezes bem técnicas, sobre o certificado do site HTTPs que estiver acessando. Em nosso caso, utilizando o navegador Google Chrome, logo na primeira linha podemos notar o endereço do site do banco e o nome da entidade que concedeu o certificado de autenticidade ao BB (Banco do Brasil), no caso Thawte Premium Server. Se o certificado HTTPs for emitido por uma entidade de certificação desconhecida ou a URL for diferente da URL acessada, tenha cuidado! Como diria Rubinho: -Na dúvida não ultrapasse!
 |
| Certificado do Banco do Brasil, emitido pela entidade certificadora Thawte Premium Server CA. |
Caso a entidade certificadora não seja conhecida, o seu navegador irá alertá-lo. Segue abaixo um exemplo do navegador Internet Explorer 9 acusando o erro no certificado:
 |
| Clique na imagem para ampliar |
Alguns sites, ainda que tenham o protocolo HTTPs implementado, não o utilizam como padrão. É o caso do mais famoso site de procura do mundo, Google, e do mais famoso site de relacionamento, Facebook. Toda procura que fizer utilizando o protocolo HTTP está passível de ser "vista" por quem o interceptar. Isso poderá ocorrer em empresas, nos quais os administradores de T.I. conseguirão realizar um filtro para ler literalmente todas as pesquisas no Google que estão sendo realizadas por seus funcionários. Mas caso você utilize o protocolo HTTPs, e verifique a autenticidade do certificado e à quem ele certifica, essa leitura não será mais possível pois todas suas pesquisas serão criptografadas. O uso do protocolo HTTPs pelo site de busca do Google ainda está em fase beta, porém já funciona satisfatoriamente bem. Basta acessar o endereço da seguinte forma: https://www.google.com, ei, nesse caso é só .com, não tem HTTPs para .com.br não (ainda). Pronto, todas suas pesquisas agora estão seguras.
 | |
| Logotipo do Google na página de pesquisa HTTPs |
Do mesmo modo o site Facebook, por padrão, também utiliza o protocolo HTTP, tornando todas as suas ações visíveis lá dentro. Logo ao acessar a primeira página, está lá o protocolo HTTP lindo e reluzente http://www.facebook.com. Igualmente ao Google, você precisa acessar utilizado o HTTPs (https://www.facebook.com), porém, no caso do FB (Facebook), você precisa realizar uma configuração em sua conta para que todos os acessos internos sejam forçados a utilizar o padrão seguro HTTPs. Uma vez que já tenho entrado no FB, vá em Conta, Configurações da conta. Procure por Segurança da conta e clique ao lado no link Editar. Ao expandir as opçoes desse campo, marque o item "Sempre que possível, navegue no Facebook usando uma conexão (https) segura".
Utilize o HTTPs sempre que possível, mas nunca se esqueça de verificar o certificado para ter certeza de que não está sendo enganado. Boa navegação!
Um comentário:
Esse eu vou encaminhar para a minha mãe e meu pai lerem, com certeza!
Valeu
(o post saiu com o nome do blog antigo que eu estava escrevendo sobre um jogo... comentei de novo)
Postar um comentário