O que é o HTTPS e porque preciso dele?

HTTPS://www.

Neste post será detalhado o que é o http, o https, o certificado, e como tudo isso contribui para uma internet mais segura e para a reputação de um site. Se fores blogspot também explica como podes ter um blog seguro com apenas um clique.

Em Julho de 2018 o Chrome vai começar a marcar como não-seguros os sites que não sejam https!

Para explicar o que é um site seguro temos de começar pelo princípio.

WWW

A Internet é uma rede de computadores ligados. A World Wide Web é o conjunto de regras da Internet que usamos hoje em dia e existe desde o início da década de 1990. Foi quando os endereços dos sites começaram a ser precedidos por www. Hoje em dia todos os sites visitados por utilizadores normais são www por isso não se costuma escrever o www antes do endereço do site. Simplesmente não é preciso porque todos se referem à World Wide Web.

HTML

As páginas da World Wide Web são escritas em HTML, CSS e Javascript. O HTML é o elemento mais importante porque dá a estrutura do site. É o que estrutura o conteúdo e assinala o que é título, o que é texto, o que é uma imagem, o que é um formulário o que é uma ligação para outra página… É como se fosse um Lego. As peças (chamadas ‘tags’) já existem e são poucas, mas muito variadas. Cada um pode combinar essas peças como bem entender para fazer o que quiser. Por essa linguagem ser formada por ‘tags’, que se pode traduzir para etiquetas ou marcadores, o nome é linguagem de marcação de hipertexto: HyperText Markup Language.

Aquilo que normalmente chamamos de ligações ou links, são hiperligações ou hyperlinks. Aqui está outra vez o Hyper. Por isso não é de surpreender que HTTP signifique HyperText Transfer Protocol: protocolo para transferência de hypertexto. Ou seja, é por onde passam as páginas HTML que queremos ler. O protocolo é o conjunto de regras para a transferência de informação. O HTTP era o mais comum para ver páginas nos navegadores. O FTP é muito comum para trocar ficheiros. Para os emails usa-se POP, IMAP ou SMTP… Existem muitos. E depois surgiu o HTTPS.

O que é o HTTPS?

A diferença entre estes dois protocolos é apenas um S, mas um S fundamental. É a inicial de Secure. Por ser seguro o Hyper Text Transfer Protocol Secure permite a troca de ficheiros HTML através de uma camada SSL/TLS que encripta tudo o que passa. Isso faz com que ninguém consiga fazer de conta que é o site de destino. Parece improvável acontecer algo assim? Ora vamos ver:

Ladrões versão 1:

Sabes aqueles alertas para nunca carregares em ligações em emails recebidos do banco? Isso é porque a única forma de teres a certeza de estares a ir para o sítio certo é se escreveres manualmente. Se não escreveste o endereço pela tua própria mão, não podes ter a certeza de onde estás a ir. Por vezes o nome parece igualzinho, mas na verdade não é uma letra do nosso alfabeto, é algum símbolo grego parecido. Sim, esses também podem ser usados nos endereços, assim como os acentos portugueses, os caracteres chineses e quase tudo em que possas pensar. Não existe nos nossos teclados, mas é um símbolo válido para outras pessoas. Ora, agora que a pessoas sabem isso e nunca mais carregaram numa ligação para o banco, começou a dar trabalho a quem queria roubar informação.

Ladrões versão 2:

Outra coisa que não se deve fazer é instalar plugins e add-ons nos navegadores. O primeiro motivo é porque fica mais lento e não deve trazer vantagens óbvias. Além disso, essa aplicação passa a saber o que fazes quando estás a navegar. E se estiver a gravar tudo? Confias assim tanto na origem que lhe queres mostrar tudo o que vês? É como pedir a uma pessoa que se ofereceu para te ajudar com os sacos de compras para, no caminho de casa, passarem no multibanco e te ver a digitar o código. Por muito honesta que essa pessoa pareça, queres correr riscos? Tudo o que pareça demasiado bom para ser verdade é demasiado bom para ser verdade. Isso não é só para os add-ons, também inclui software gratuito.

Ladrões versão 3:

Se não fosse assustador, isto até seria divertido. Como agora já não vais para o site mau e já não instalas programas espiões no teu computador, agora para te interceptarem a informação, a única forma é os ladrões estarem na rede a ver a informação que envias. Como? Redes wifi gratuitas.

Quantas vezes te ligaste a redes públicas de acesso livre? Sempre que o fazes estás a correr riscos. O que garante que aquela rede é mesmo do restaurante ou do centro comercial? E se tiver apenas o mesmo nome? Uma coisa é o telemóvel continuar a receber emails e notificações Facebook, outra é estares a fazer compras online num site novo. Se calhar esse site não é o que pensas, é apenas um clone e só é válido para quem estiver ligado naquela rede. E vais dar toda a tua informação a esse site falso, para depois alguém a usar por ti no site verdadeiro.

Conclusões

Chega de assustar? A única forma de garantir a segurança nas comunicações é 1) computador seguro; 2) ligação segura; 3) site seguro. Como utilizadores conseguimos garantir a segurança do nosso computador fazendo as actualizações, correndo antivírus, não abrindo mails suspeitos, tudo aquilo que nos dizem diariamente. Como utilizadores conseguimos garantir a segurança da nossa ligação ao não usarmos redes públicas. Como utilizadores não conseguimos garantir a segurança do site. A única coisa que podemos fazer é fugir depressa. O problema reside aqui. Mesmo que não o saibam, os utilizadores precisam de confiar que o site é fidedigno. Por isso é que os navegadores começam a avisar quando se está a colocar informação sensível em sites perigosos.

alerta em formulários de sites não seguros

Formulário em site perigoso

E por isso é que os motores de pesquisa como o Google dão preferência a sites que se esforcem para serem seguros. Aqueles com um certificado SSL válido podem fazer comunicações HTTPS e assim as três partes – computador, rede, site – ficam seguras e a comunicação em princípio é privada. Os navegadores alertam para isso com uma marca verde a dizer que o site é seguro.

Como proprietários de um site não podemos garantir que o computador e a ligação dos nossos visitantes são seguros. Mas temos a obrigação de oferecer um site seguro. Para isso basta pôr o certificado, mas na maior parte dos blogs nem isso é preciso. É muito simples.

Como posso verificar se o meu blog tem https?

Se fores wordpress.com o https é a única opção desde meados de 2016. Parabéns, já tens um blog em https.

Se fores blogspot.com também na mesma altura tinha tanto o http como o https. Parabéns, já tens o blog em https. Daqui a pouco explico como desligar o http.

O único problema é se algum conteúdo de outros sites utilizados no blog não for https. Vamos por partes. Quando te ligas com http simples, à esquerda do endereço aparece um símbolo de cuidado. Carregando lá diz que a ligação não é segura.

alerta no navegador para sites não seguros

Site não fidedigno

O mesmo site por https deve ter um símbolo verde.

Site indicado com oseguro

Site fidedigno

Valida sempre se não aparece uma informação extra. No Chrome é um escudo à direita.

Informação de segurança no navegador Chrome

Informação de segurança no navegador Chrome

No Firefox é carregando no ícone verde.

Informação de segurança no navegador Firefox

Informação de segurança no navegador Firefox

Isso significa que o site é seguro, mas tem conteúdos externos não seguros. Pode ser algo no tema ((uma imagem, um ficheiro javascript ou css…). Se for no tema é possível em minutos corrigir, mas se for algum serviço de alojamento de imagens, passatempos ou algo assim, convém pensares nos utilizadores e começares a usar exclusivamente sites com https para esse fim.

Finalmente, se o site não tiver HTTPS, aparece mesmo a vermelho e terás de ir por HTTP.

site sem https

Site não-seguro

Utilizadores blogspot, vamos acabar com o http?

Se fores às definições, logo no primeiro ecrã vais ver a secção do https.

Ecrão de configuração do Blogspot na opção HTTPS

Ecrão de configuração do Blogspot

É só mudar de Não para Sim e já está. Nem sequer é preciso confirmar a seguir, fica logo. E se correr mal, podemos voltar atrás com um clique no Não. Sim, é assim fácil e passas a estar na elite que o Google deseja mostrar.

E não te esqueças de fugir sempre que o site não estiver verde.

E se eu for WordPress.org?

Isso dá mais trabalho e é preciso todo um outro artigo só para esse caso: como comprar e instalar certificados em sites wordpress.

Junho 1st, 2018 Por