http vs https.pdf

TechTudo

13/07/2012 08h00 - Atualizado em 10/10/2013 09h56

Qual a diferena entre HTTP e HTTPS?

Pedro Pisa Para o TechTudo

Recomendar

3

Tweetar 53

1 comentrio

Quando acessamos sites de banco ou lojas virtuais para realizar transaes financeiras, recebemos inmeros avisos para verificar o cadeado de segurana ou observar a sigla HTTPS na barra de endereos do navegador. Nesse artigo, o TechTudo explica a importncia do HTTPS na Internet e quais as principais vantagens e desvantagens de usar o HTTPS, tanto para o usurio quanto para o servidor do servio na Web.

Exemplo de sites com HTTPS e certificado (Foto: Reproduo / Cert.br)

O protocolo de transferncia de hipertexto (HTTP HyperText Transfer Protocol) o protocolo padro para a Web. Atravs dele, os navegadores requisitam as pginas da Web e as recebem. Dessa forma, o HTTP define, entre outras formalidades, como so requisitadas as pginas da Web, como so enviados os dados que o usurio insere em formulrios e como o servidor envia mensagens de erro para o navegador do usurio. No entanto, como o HTTP um protocolo baseado em texto, ou seja, toda a informao transmitida est em texto, os dados do usurio e do servidor podem ser interceptados ou alterados no meio do caminho.

Nesse contexto, um usurio na rede pode interceptar os seus dados e l-los ou, pior, alterar a pgina que voc recebe ou a informao que envia para o servidor. De fato, problemas mais graves e imediatos podem acontecer com transaes financeiras, como o caso de uma transferncia bancria. Se o site do banco fosse com HTTP e um usurio mal-intencionado

24CurtirCurtir

notcias esportes entretenimento vdeos ENTRE

Pgina 1 de 8Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo

06/05/2014http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...

desejasse alterar uma ordem de transferncia para depositar o dinheiro na conta dele, esse usurio poderia fazer tranquilamente, pois no h nenhum mecanismo de segurana no protocolo HTTP.

Tirinha ilustrando um usurio sendo enganadopor um usurio malicioso (Foto: Reproduo)

Com o uso do HTTPS, que o HTTP seguro, adiciona-se alguns princpios de segurana, como confidencialidade, integridade e autenticao. Por confidencialidade, entende-se que a mensagem s lida pelo destinatrio real da mensagem. A integridade representa que a mensagem no foi alterada e o princpio da autenticao prova que o servidor realmente quem diz ser. Nesse artigo, apresenta-se, portanto, os mecanismos utilizados pelo HTTPS para atingir esses trs princpios bsicos.

A maioria das explicaes resume o HTTPS como um HTTP com o SSL (Secure Sockets Layer) ou, seu sucessor, o TLS (Transport Layer Security). TLS ou SSL so camadas de segurana que fornecem confidencialidade e integridade. No entanto, a autenticao dos sites da Web feita pelos certificados e pela infraestrutura de chaves pblicas da Internet. No entanto, neste artigo, abordaremos as questes mais conceituais. A base do TLS/SSL e dos certificados da Internet a criptografia.

Para a construo de um Website com HTTPS, o administrador do site precisa criar um par de chaves, uma pblica e uma privada. Assim, quando um usurio solicita uma conexo com esse site, o servidor envia a sua chave pblica para o usurio. De posse da chave pblica, o usurio pode se comunicar com o servidor, garantindo que todas as mensagens enviadas para o servidor somente sero lidas pelo servidor, pois apenas o servidor possui a chave privada. Basta, para isso, que o navegador do usurio encripte todas as requisies e decripte as respostas recebidas com a chave pblica do servidor.

saiba mais

O que criptografia?



O que IP?

O que SSL?

Dessa forma, garante-se a confidencialidade, pois o usurio tem certeza que apenas o servidor vai receber suas mensagens e que foi o servidor quem enviou aquela mensagem. De fato, o procedimento na prtica mais complexo, pois utilizar o par de chaves assimtricas para a troca de dados demanda muito processamento. Ento, no incio da conexo, o servidor e o usurio combinam uma chave simtrica nica e aleatria para a conexo. Na prtica, a mesma segurana, pois s os dois conhecem a chave simtrica.

Para garantir a integridade, o TLS/SSL adiciona a cada mensagem, seja ela requisio ou resposta, um cdigo. Esse cdigo denominado MAC (Message Authentication Code) e busca permitir ao destinatrio detectar se a mensagem foi alterada. Seu funcionamento simples. Calcula-se um resumo (Hash) de cada mensagem e envia-se esse resumo junto com a mensagem. Assim, quando o destinatrio receber a mensagem, deve calcular o mesmo resumo e verificar se o resumo calculado igual ao recebido. Se for igual, a mensagem no foi alterada, mas se for diferente, o destinatrio deve descartar a mensagem e pedir uma nova.

Exemplo de site com HTTPS, mas com certificado no autenticado (Foto: Reproduo/Microsoft.com)

Assim, com o TLS/SSL adicionado ao HTTP, o HTTPS garante tanto a confidencialidade quanto a integridade das requisies e respostas do protocolo. No entanto, apenas com o TLS/SSL no possvel garantir que o servidor realmente quem ele diz ser. Isso ocorre, pois a chave pblica enviada para o navegador pelo prprio servidor Web. Dessa forma, se o usurio malicioso falar com o usurio como se fosse o servidor, o usurio envia os dados para o usurio malicioso pensando que est conversando com o servidor legtimo. Para evitar esse problema, na Internet, criou-se uma infraestrutura de chaves pblicas.



Assim, aps criar o seu par de chaves, o administrador do Website deve registrar esse par de chaves em uma autoridade certificadora da Internet. A autoridade certificadora funciona como um cartrio do mundo real e emite um certificado confirmando que aquela chave pblica realmente do site. Esse processo, nos certificados mais fortes, envolve, inclusive, o scio do site indo pessoalmente at a sede da autoridade certificadora portando os documentos legais da empresa. Dessa forma, quando um site possui um certificado, o navegador o exibe com todas as informaes da empresa que o emitiu.

O funcionamento simples, quando o servidor envia a chave pblica para o usurio, ele tambm envia o certificado que atesta a validade da chave pblica. Assim, o usurio consulta a autoridade certificadora para verificar o certificado, que pode inclusive ter sido revogado. Caso a autoridade certificadora ateste a validade do certificado, o navegador confia na chave pblica recebida e se comunica com o servidor tendo a certeza de que o servidor legtimo.



Exemplo de certificado de servidor legtimo do banco do brasil (Foto: Reproduo/Pedro Pisa)

Para o usurio, o site com HTTPS oferece a vantagem da segurana. No entanto, podemos nos perguntar por que todos os sites no utilizam HTTPS. A resposta custo e desempenho. Primeiramente, a validao do certificado pela autoridade certificadora cobrada, custando, em algumas modalidades, mais de R$ 3.000,00 (trs mil reais) por ano. Nem todos os servios na Web desejam ou podem pagar quantias como essas.

Alm disso, utilizar HTTPS nos servios web reduz drasticamente o desempenho da comunicao. Por esses motivos, os sites evitam utilizar o HTTPS, reservando-o apenas para as transaes mais



sensveis, como as financeiras. No entanto, no esquea de observar o uso correto do HTTPS tambm em redes sociais, servios de e-mail, discos virtuais e outras aplicaes que exijam senhas ou o envio de dados pessoais. Essas informaes tambm so sensveis e requerem cuidado ao serem enviadas na Internet.

Finalizamos este artigo deixando o espao de comentrios para nossos leitores. Utilize esse espao para deixar comentrios, dvidas ou mesmo contar experincias com servios na Internet que no utilizam ou utilizam erradamente o HTTPS. Esse espao seu e at a prxima.

Links Patrocinados

Leitor smart card

e-cpf e-cnpj Certificao Digital OAB CRC Receita Federal

www.nonus.com.br/LeitorDeSmarCard

1 comentrio

Link http://glo.bo/MpbgNo

Seu nome

Seu e-mail

Enviar para

Comentrio140 caracteres

Verificao de segurana

Atualizar imagem

Digite os caracteres ao lado para enviar

enviar para um amigo

Seu Nome

Seu E-mail



Cidade onde reside

UF AC

Gnero

M F Assunto Opinio Mensagem

atualizar imagem

Digite as palavras ao lado para enviar sua matria

enviar mensagem

Seu voto foi efetuado com sucesso

1comentrio

recentes

populares

Imagem do usurio

Sair

Sair

Quer realmente sair da globo.com?

Sim No

600

Digite as palavras ao lado:

Atualizar imagem

Comentar

Imagem do usurio

nenhuma facebook twitter

recentes

populares



CONFIRMAR DENUNCIA

Diego Silvah 2 anos

Otima matria, espero ver mais matrias como essa.

2 0

Responder

Facebook Twitter

COMPARTILHAR

Denunciar

Imagem do usurio

Camisa do Brasil

A PARTIR DE

11 x 20,90

Tnis Mizuno Wave

A PARTIR DE

12 x 33,32

Tnis Nike Shox

A PARTIR DE

12 x 28,32

Multilaser Sport P3230

A PARTIR DE

7 x 31,16

E-Ink 6 W860

A PARTIR DE

12 x 35,85

Notebook Samsung

A PARTIR DE

8 x 195,88

SHOPPING outlet centauro busque por produtos buscar

NETSHOES CENTAURO BUSCAP BUSCAP BUSCAP



http vs https.pdf

Documents