Atualmente, uma grande parcela do tráfego online é encaminhada por meio de conexões HTTPS, que são consideradas “seguras”. O Google, inclusive, adverte que websites que utilizam o protocolo HTTP, sem criptografia, são classificados como “Não Seguros”. Diante disso, surge a questão: por que ainda nos deparamos com tantos casos de malware, phishing e outras atividades maliciosas na internet?
Conexões Seguras, Sites Nem Tanto
O navegador Chrome costumava exibir a palavra “Seguro” acompanhada de um cadeado verde na barra de endereço quando um site HTTPS era acessado. Contudo, nas versões mais recentes, essa exibição foi simplificada, mostrando apenas um pequeno ícone de cadeado cinza, sem a menção da palavra “Seguro”.
Essa mudança reflete o fato de que o HTTPS agora é visto como o padrão básico. A ideia é que a segurança seja a regra, e o Chrome apenas sinaliza conexões como “Não Seguras” quando o acesso se dá por meio de HTTP.
A remoção da palavra “Seguro” também se deu por conta do potencial de induzir ao erro. Ela sugeria que o Chrome validava o conteúdo do site, como se tudo na página fosse intrinsecamente “seguro”. Mas essa ideia é equivocada. Um site HTTPS, apesar da conexão segura, pode conter malware ou ser uma página de phishing.
O Papel da Criptografia HTTPS
O HTTPS, sigla para Hypertext Transfer Protocol Secure, é uma versão aprimorada do HTTP, com a adição de uma camada de criptografia de segurança. Essa criptografia é crucial para evitar que seus dados sejam interceptados durante a transmissão, além de impedir ataques do tipo “man-in-the-middle”, que podem alterar o conteúdo do site antes que ele chegue até você. Em outras palavras, dados como informações de pagamento enviadas para um site são protegidos de olhares indiscretos.
Em resumo, o HTTPS garante que a comunicação entre você e um determinado site seja segura, impedindo espionagem ou manipulação. Essa é a sua principal função.
A Segurança do Site Vai Além da Conexão
Embora o HTTPS seja um avanço importante e sua adoção seja recomendada para todos os sites, é fundamental entender que ele garante apenas uma conexão segura com o site, não necessariamente a segurança do conteúdo. A presença do cadeado indica que o operador do site obteve um certificado e configurou a criptografia para proteger a conexão.
Por exemplo, um site malicioso, com downloads infectados, pode utilizar HTTPS. Isso significa que o site e os arquivos estão sendo transferidos por meio de uma conexão segura, mas não que o conteúdo em si seja seguro.
Da mesma forma, um criminoso pode registrar um domínio semelhante a um site legítimo, como “bankoamerica.com”, obter um certificado SSL para ele e criar um site de phishing. Esse site falso exibiria o cadeado de “seguro”, mas essa garantia se limita apenas à conexão com o site de phishing.
A Importância do HTTPS, Apesar de Tudo
Apesar da mudança na forma como os navegadores apresentam os sites HTTPS, deixando de lado a ideia de que eles são intrinsecamente “seguros”, a migração para HTTPS é benéfica para a internet. Ela ajuda a mitigar problemas, mas não elimina por completo ameaças como malware, phishing, spam e ataques a sites vulneráveis.
Segundo estatísticas do Google, 80% das páginas da web carregadas no Chrome no Windows usam HTTPS. Além disso, os usuários do Chrome no Windows passam 88% do seu tempo de navegação em sites com HTTPS.
Essa mudança dificulta a ação de criminosos que tentam interceptar dados pessoais, especialmente em redes Wi-Fi públicas ou outras redes compartilhadas. Além disso, reduz a possibilidade de ataques “man-in-the-middle” nesses ambientes.
Por exemplo, ao baixar um arquivo .exe em uma rede Wi-Fi pública, se a conexão for HTTP, o administrador da rede pode adulterar o download, substituindo-o por um arquivo malicioso. Já com HTTPS, a conexão é protegida e impede essa manipulação.
Apesar da grande melhoria, o HTTPS não é uma solução mágica. É fundamental manter práticas de segurança online para se proteger de malware, identificar sites de phishing e evitar outros problemas na internet.
Crédito da imagem: Eny Setiyowati/Shutterstock.com.