A comunicação entre um visitante e um site não é direta. Qualquer interação na Internet passa por uma grande malha de roteadores (chamados assim porque controlam a rota, o caminho das informações), servidores (computadores que prestam um serviço) e outros equipamentos, conectados entre si por ondas de rádio, fios metálicos ou fibra ótica.
Essa infraestrutura complexa permite que milhões ou bilhões de pessoas usem a Internet simultaneamente, de forma similar ao sistema de trânsito de uma metrópole, que permite que milhares de carros passem simultaneamente nas mesmas estradas e avenidas, mas cada carro com diferentes pontos de partida e destinos.
O problema dessa complexidade toda é que abre a possibilidade de criminosos colocarem "escutas" físicas ou digitais em algum ponto do meio do caminho entre você e o site e daí monitorar a informação que está passando.
Por exemplo, quando você está no aeroporto, ou em um restaurante ou café, usando uma rede WiFi aberta, aquele simpático senhor tomando um capuccino duas mesas para sua esquerda, pode ter um programa no notebook dele que está captando o mesmo sinal de rádio (WiFi) que você e monitorando toda a informação aberta que passa, para ver se pesca alguma coisa útil.
Além disso, a própria empresa onde você trabalha, a sua casa ou as operadoras de telefonia e telecomunicações ou provimento de Internet podem ter pontos comprometidos, espionados.
É claro que os fabricantes de equipamentos e softwares embutem proteções contra espionagem nos seus produtos, bem como as operadoras e provedores tem grandes sistemas de segurança, mas nada disso é infalível. Os criminosos podem às vezes conseguir implantar softwares ou hardwares espiões em diferentes lugares.
Para se proteger desses casos de espionagem de meio de caminho, uma proteção extra é criptografar a informação que está indo do visitante para o site e de volta do site para o visitante. Com a informação em trânsito criptografada, os criminosos além de ter que conseguir capturar a informação que está passando, vão ter que quebrar a criptografia para conseguir ler a informação.
Essa criptografia protetiva da informação em trânsito entre visitante e site é o que fazem a combinação de um Certificado SSL, com tecnologia TLS e o protocolo HTTPS, como detalharemos a seguir.
HTTP
A tecnologia historicamente mais comum de comunicação entre um visitante e um site é o protocolo HTTP - Hypertext Transfer Protocol / Protocolo de Transferência de Hipertexto. Por isso os endereços completos de sites contem o prefixo http, por exemplo http://www.nomedosite.com.br
Para facilitar o uso, os navegadores atuais aceitam que você digite uma versão abreviada do nome do site sem escrever o http, por exemplo só www.nomedosite.com.br ou só nomedosite.com.br . Porém, se você copiar o endereço abreviado de um site lá do topo do navegador e colar em uma outra janela do navegador, ou em um campo de texto, verá que o prefixo http está lá, faz parte do nome.
O protocolo HTTP estabelece uma comunicação aberta, não criptografada, entre um visitante e um site. Ou seja, se você escreve "José da Silva CPF 555.666 senha xpto" e manda para um site http, isso vai passar nas linhas de comunicação como "José da Silva CPF 555.666 senha xpto".
E se o site htpp responde "José da Silva seu saldo é R$ 2.000,00", isso vai passar nas linhas de comunicação como "José da Silva seu saldo é R$ 2.000,00".
Não é só cartão de crédito ou senha de banco
Se algum espião digital monitorando a comunicação entre uma pessoa e um site conseguir capturar informações financeiras, senhas ou outras informações confidenciais ou sigilosas, o risco é óbvio. Porém, infelizmente, a criatividade dos bandidos é enorme.
Mesmo que consigam pegar informações triviais como nome, endereço de casa, telefone ou e-mail, eles podem usá-las para crimes, ou pelo menos para chateações, por exemplo inundar você de propaganda não solicitada.
SSL, TLS e HTTPS
Esses riscos já foram identificados há bastante tempo e para combate-los foi desenvolvida uma tecnologia chamada SSL - Secure Sockets Layer e um novo protocolo de comunicação o HTTPS - Hypertext Transfer Protocol Secure / Protocolo de Transferência de Hipertexto Seguro. Eles permitem uma comunicação mais segura, criptografada, entre visitante e site.
Essas duas tecnologias sempre são usadas em conjunto. Grosso modo, o SSL é a tecnologia que estabelece a conexão segura inicial - tecnicamente chamado de handshake - entre dois agentes que querem "conversar" na Internet. Já o HTPPS transmite os dados seguros entre os dois, depois de estabelecida a conexão.
Para garantir um handshake seguro entre duas partes que querem se comunicar na Internet, a tecnologia SSL tem que acessar um certificado digital emitido por um terceiro, uma entidade certificadora credenciada que emite um Certificado SSL, próprio para uso pela tecnologia SSL. Todo site que usa HTTPS tem que ter um Certificado SSL para garantir sua identidade.
Ao longo do tempo a tecnologia SSL foi tendo seguidas melhorias em novas versões, SSL 2.0, SSL 3.0 e a partir de 2006 passou a ser substituída por uma tecnologia similar porém mais segura, chamada TLS -Transport Layer Security. Tanto a tecnologia SSL mais antiga, quanto a nova TLS demandam que o site tenha um Certificado SSL, que manteve o nome.
Eu sei. É meio confuso. Tecnologia SSL, Tecnologia TSL e o fato que ambas precisam de um Certificado SSL para funcionar. Porém, você verá a seguir que para quem usa, a coisa toda é mais ou menos transparente.
Devorando a sopa de letrinhas
Para a leitora e o leitor menos interessados nas entranhas tecnológicas, é preciso dizer que independente de detalhes da conexão segura, em qualquer caso, os sites que fazem comunicação criptografada com os visitantes usam o protocolo HTPPS, o que facilita os distinguir.
Esses sites tem um nome completo contendo o prefixo https, por exemplo
https://www.vendere.com.br . Para acessá-los no navegador você também pode digitar a versão abreviada do nome, como www.vendere.com.br ou apenas vendere.com.br
Vive la difference
Quando você digita "José da Silva CPF 555.666 senha xpto" e manda para um site https, o navegador criptografa essa informação e manda por exemplo "346&*etu++op-56xxvbm%tqwe890-et7" para o site, que decodifica esta informação e manda de volta uma resposta também criptografada.
Então, se houver alguém que conseguiu monitorar essa comunicação, em algum ponto entre o visitante e o site, só terá acesso à informação criptografada, no nosso exemplo "346&*etu++op-56xxvbm%tqwe890-et7".
Os algoritmos usados para fazer a criptografia são sofisticados e é muito difícil a mensagem criptografada interceptada no meio caminho ser decifrada de volta à informação original.
O alerta do cadeado
A diferenciação entre HTTP e HTTPS é um tanto técnica e só um "s" a mais no nome completo do site pode ser difícil de perceber, ou até impossível de ver no caso do nome abreviado. Por isso os navegadores adotaram convenções mais visíveis para alertar o visitante se o site que ele está acessando usa uma comunicação aberta(http) ou criptografada (htpps).
Por exemplo os navegadores Chrome e Edge escrevem "Não Seguro" ao lado do endereço de um site http no topo do navegador. Já em um site https, estes mesmos navegadores colocam o desenho de um cadeado fechado ao lado do endereço, no topo do navegador.
As convenções visuais para indicar http ou https podem variar um pouco de navegador para navegador e de versão para versão, mas você pode observar no topo desse blog - que é seguro e usa https - como o seu navegador indica isso.
As vantagens pra quem está atrás do balcão
Em muitos momentos neste post abordamos as vantagens de Certificado SSL / tecnologia TLS / protocolo HTTPS mais focados no visitante do site, mas também há vantagens para a empresa dona do site investir em https.
Para começar, a sensação de segurança dos visitantes ao ver o cadeado fechado no navegador pode aumentar o número de visitantes, sua frequência e permanência. Já a frase "Não seguro" que o navegador coloca nos sites que não tem https pode assustar visitantes.
Outra vantagem é que a criptografia pode também proteger de captura informações sigilosas que pudessem ser usadas contra a empresa dona do site, não só contra o visitante.
Soma-se a tudo isso que o Google dá uma pequena preferência nas respostas às pesquisas para os sites que usam HTTPS. Ou seja, se todo o resto for igual, o site HTPPS pode aparecer antes do HTTP numa resposta às pesquisas feitas no Google.
Há desvantagens?
De maneira geral, para a empresa dona do site a implantação e manutenção de um site com HTTPS pode ser um pouco mais cara e complexa do que um com só HTTP.
Além a disso a comunicação HTTPS entre site e visitante pode sofrer um pequeno atraso pelos processos extras de handshake e criptografia, que não acontecem no HTTP. Geralmente é coisa de centésimos de segundo, na maioria das vezes imperceptível ao visitante do site.
Porém, as vantagens de segurança e privacidade do HTTPS compensam o pequeno custo e complexidades extras e algum possível micro atraso, especialmente se o site troca informações pessoais ou confidenciais com o visitante.
LGPD - Lei Geral de Proteção de Dados
O cuidado com as informações do visitante do site é ainda mais importante com a entrada em vigor no Brasil da LGPD, a Lei Geral de Proteção de Dados. Essa lei demanda cuidados com a segurança e a privacidade de quaisquer dados pessoais, coletados ou em posse da empresa.
O uso de certificado SSL / tecnologia TLS / protocolo HTTPS em um site dificulta a captura de informações quando em trânsito do visitante para o site e vice-versa. Isso pode ser parte importante de políticas e tecnologias mais amplas de observância da empresa para com a LGPD.
Gostou do post?
Compartilhe! ↓ →