TechTudo

13/07/2012 08h00 - Atualizado em 10/10/2013 09h56

Qual a diferena entre HTTP e HTTPS?
Pedro Pisa Para o TechTudo
Recomendar
3
Tweetar 53
1 comentrio
Quando acessamos sites de banco ou lojas virtuais para realizar transaes financeiras, recebemos
inmeros avisos para verificar o cadeado de segurana ou observar a sigla HTTPS na barra de
endereos do navegador. Nesse artigo, o TechTudo explica a importncia do HTTPS na Internet e
quais as principais vantagens e desvantagens de usar o HTTPS, tanto para o usurio quanto para o
servidor do servio na Web.
Exemplo de sites com HTTPS e certificado (Foto: Reproduo / Cert.br)
O protocolo de transferncia de hipertexto (HTTP HyperText Transfer Protocol) o protocolo
padro para a Web. Atravs dele, os navegadores requisitam as pginas da Web e as recebem.
Dessa forma, o HTTP define, entre outras formalidades, como so requisitadas as pginas da Web,
como so enviados os dados que o usurio insere em formulrios e como o servidor envia
mensagens de erro para o navegador do usurio. No entanto, como o HTTP um protocolo
baseado em texto, ou seja, toda a informao transmitida est em texto, os dados do usurio e do
servidor podem ser interceptados ou alterados no meio do caminho.
Nesse contexto, um usurio na rede pode interceptar os seus dados e l-los ou, pior, alterar a
pgina que voc recebe ou a informao que envia para o servidor. De fato, problemas mais
graves e imediatos podem acontecer com transaes financeiras, como o caso de uma
transferncia bancria. Se o site do banco fosse com HTTP e um usurio mal-intencionado
24 Curtir Curtir
notcias esportes entretenimento vdeos ENTRE
Pgina 1 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
desejasse alterar uma ordem de transferncia para depositar o dinheiro na conta dele, esse usurio
poderia fazer tranquilamente, pois no h nenhum mecanismo de segurana no protocolo HTTP.
Tirinha ilustrando um usurio sendo enganado
por um usurio malicioso (Foto: Reproduo)
Com o uso do HTTPS, que o HTTP seguro, adiciona-se alguns princpios de segurana, como
confidencialidade, integridade e autenticao. Por confidencialidade, entende-se que a mensagem
s lida pelo destinatrio real da mensagem. A integridade representa que a mensagem no foi
alterada e o princpio da autenticao prova que o servidor realmente quem diz ser. Nesse artigo,
apresenta-se, portanto, os mecanismos utilizados pelo HTTPS para atingir esses trs princpios
bsicos.
A maioria das explicaes resume o HTTPS como um HTTP com o SSL (Secure Sockets Layer)
ou, seu sucessor, o TLS (Transport Layer Security). TLS ou SSL so camadas de segurana que
fornecem confidencialidade e integridade. No entanto, a autenticao dos sites da Web feita
pelos certificados e pela infraestrutura de chaves pblicas da Internet. No entanto, neste artigo,
abordaremos as questes mais conceituais. A base do TLS/SSL e dos certificados da Internet a
criptografia.
Para a construo de um Website com HTTPS, o administrador do site precisa criar um par de
chaves, uma pblica e uma privada. Assim, quando um usurio solicita uma conexo com esse
site, o servidor envia a sua chave pblica para o usurio. De posse da chave pblica, o usurio
pode se comunicar com o servidor, garantindo que todas as mensagens enviadas para o servidor
somente sero lidas pelo servidor, pois apenas o servidor possui a chave privada. Basta, para isso,
que o navegador do usurio encripte todas as requisies e decripte as respostas recebidas com a
chave pblica do servidor.
saiba mais

O que criptografia?

Pgina 2 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo

06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
O que IP?

O que SSL?
Dessa forma, garante-se a confidencialidade, pois o usurio tem certeza que apenas o servidor vai
receber suas mensagens e que foi o servidor quem enviou aquela mensagem. De fato, o
procedimento na prtica mais complexo, pois utilizar o par de chaves assimtricas para a troca
de dados demanda muito processamento. Ento, no incio da conexo, o servidor e o usurio
combinam uma chave simtrica nica e aleatria para a conexo. Na prtica, a mesma
segurana, pois s os dois conhecem a chave simtrica.
Para garantir a integridade, o TLS/SSL adiciona a cada mensagem, seja ela requisio ou resposta,
um cdigo. Esse cdigo denominado MAC (Message Authentication Code) e busca permitir ao
destinatrio detectar se a mensagem foi alterada. Seu funcionamento simples. Calcula-se um
resumo (Hash) de cada mensagem e envia-se esse resumo junto com a mensagem. Assim, quando
o destinatrio receber a mensagem, deve calcular o mesmo resumo e verificar se o resumo
calculado igual ao recebido. Se for igual, a mensagem no foi alterada, mas se for diferente, o
destinatrio deve descartar a mensagem e pedir uma nova.
Exemplo de site com HTTPS, mas com certificado no autenticado (Foto:
Reproduo/Microsoft.com)
Assim, com o TLS/SSL adicionado ao HTTP, o HTTPS garante tanto a confidencialidade quanto
a integridade das requisies e respostas do protocolo. No entanto, apenas com o TLS/SSL no
possvel garantir que o servidor realmente quem ele diz ser. Isso ocorre, pois a chave pblica
enviada para o navegador pelo prprio servidor Web. Dessa forma, se o usurio malicioso falar
com o usurio como se fosse o servidor, o usurio envia os dados para o usurio malicioso
pensando que est conversando com o servidor legtimo. Para evitar esse problema, na Internet,
criou-se uma infraestrutura de chaves pblicas.
Pgina 3 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
Assim, aps criar o seu par de chaves, o administrador do Website deve registrar esse par de
chaves em uma autoridade certificadora da Internet. A autoridade certificadora funciona como um
cartrio do mundo real e emite um certificado confirmando que aquela chave pblica realmente
do site. Esse processo, nos certificados mais fortes, envolve, inclusive, o scio do site indo
pessoalmente at a sede da autoridade certificadora portando os documentos legais da empresa.
Dessa forma, quando um site possui um certificado, o navegador o exibe com todas as
informaes da empresa que o emitiu.
O funcionamento simples, quando o servidor envia a chave pblica para o usurio, ele tambm
envia o certificado que atesta a validade da chave pblica. Assim, o usurio consulta a autoridade
certificadora para verificar o certificado, que pode inclusive ter sido revogado. Caso a autoridade
certificadora ateste a validade do certificado, o navegador confia na chave pblica recebida e se
comunica com o servidor tendo a certeza de que o servidor legtimo.
Pgina 4 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
Exemplo de certificado de servidor legtimo do banco do brasil (Foto: Reproduo/Pedro
Pisa)
Para o usurio, o site com HTTPS oferece a vantagem da segurana. No entanto, podemos nos
perguntar por que todos os sites no utilizam HTTPS. A resposta custo e desempenho.
Primeiramente, a validao do certificado pela autoridade certificadora cobrada, custando, em
algumas modalidades, mais de R$ 3.000,00 (trs mil reais) por ano. Nem todos os servios na
Web desejam ou podem pagar quantias como essas.
Alm disso, utilizar HTTPS nos servios web reduz drasticamente o desempenho da comunicao.
Por esses motivos, os sites evitam utilizar o HTTPS, reservando-o apenas para as transaes mais
Pgina 5 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
sensveis, como as financeiras. No entanto, no esquea de observar o uso correto do HTTPS
tambm em redes sociais, servios de e-mail, discos virtuais e outras aplicaes que exijam senhas
ou o envio de dados pessoais. Essas informaes tambm so sensveis e requerem cuidado ao
serem enviadas na Internet.
Finalizamos este artigo deixando o espao de comentrios para nossos leitores. Utilize esse espao
para deixar comentrios, dvidas ou mesmo contar experincias com servios na Internet que no
utilizam ou utilizam erradamente o HTTPS. Esse espao seu e at a prxima.
Links Patrocinados
Leitor smart card
e-cpf e-cnpj Certificao Digital OAB CRC Receita Federal
www.nonus.com.br/LeitorDeSmarCard

1 comentrio

Link http://glo.bo/MpbgNo
Seu nome
Seu e-mail
Enviar para
Comentrio140 caracteres

Verificao de segurana
Atualizar imagem
Digite os caracteres ao lado para enviar
enviar para um amigo
Seu Nome
Seu E-mail
Pgina 6 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
Cidade onde reside
UF AC
Gnero
M F
Assunto Opinio
Mensagem

atualizar imagem
Digite as palavras ao lado para enviar sua matria
enviar mensagem
Seu voto foi efetuado com sucesso
1
comentrio
recentes
populares
Imagemdousurio
Sair
Sair
Quer realmente sair da globo.com?
Sim No
600
Digite as palavras ao lado:
Atualizar imagem
Comentar
Imagemdousurio
nenhuma facebook twitter
recentes
populares
Pgina 7 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...
CONFIRMAR DENUNCIA
Diego Silva
h 2 anos
Otima matria, espero ver mais matrias como essa.
2 0

Responder

Facebook Twitter
COMPARTILHAR

Denunciar
Imagemdousurio
Camisa do
Brasil
A PARTIR DE
11 x
20,90
Tnis Mizuno
Wave
A PARTIR DE
12 x
33,32
Tnis Nike
Shox
A PARTIR DE
12 x
28,32
Multilaser
Sport P3230
A PARTIR DE
7 x 31,16
E-Ink 6 W860
A PARTIR DE
12 x
35,85
Notebook
Samsung
A PARTIR DE
8 x
195,88
SHOPPING
outlet centauro busque por produtos buscar
NETSHOES CENTAURO BUSCAP BUSCAP BUSCAP
Pgina 8 de 8 Qual a diferena entre HTTP e HTTPS? - Artigos - TechTudo
06/05/2014 http://www.techtudo.com.br/artigos/noticia/2012/07/qual-a-diferenca-entre-http-e-http...