Ver conteúdo principal

Aviso: o Top10VPN tem independência editorial. Podemos receber comissões se você adquirir uma VPN usando links do nosso site.

O HTTPS é seguro?

Simon Migliano
Simon Migliano

Simon Migliano é um especialista em VPNs reconhecido mundialmente. Ele já testou centenas de serviços de VPN e suas pesquisas foram apresentadas na BBC, no New York Times e outros.

Verificado por JP Jones

  2. Guias
  3. O HTTPS é seguro?

Nosso veredito

O HTTP (protocolo de transferência de hipertexto) e o HTTPS (protocolo de transferência de hipertexto seguro) são ambos protocolos de transferência de informações pela Web. O HTTPS usa criptografia para proteger seus dados de Eavesdropping ou adulteração. O HTTP transfere dados no formato de texto simples, os deixando vulneráveis a interceptação ou manipulação de terceiros. Ainda que o HTTPS seja mais seguro que o HTTP, ele não protege você de phishing, malware e outras vulnerabilidades dos sites.

Is HTTPS Secure?

O HTTP e o HTTPS são aspectos de base para o funcionamento e segurança de um site.

A maioria das pessoas sabem que sites HTTPS supostamente são mais seguros que os HTTP, mas será que você realmente sabe a diferença entre eles e o quão seguros eles realmente são?

Resumo rápido: sites HTTP vs. sites HTTPS

  • O HTTP (protocolo de transferência de hipertexto) é um protocolo de rede que permite que diferentes sistemas se comuniquem por meio de uma rede. O HTTP não usa criptografia, ou seja, os dados enviados em uma conexão HTTP ficam visíveis em texto simples para qualquer pessoa que intercepte o tráfego.
  • O HTTPS (protocolo de transferência de hipertexto seguro) é uma versão mais segura do HTTP que usa criptografia SSL ou TLS para proteger os dados durante a transmissão. O HTTPS é basicamente o HTTP com a inclusão de criptografia e verificação, que previnem que dados sejam interceptados e compreendidos por terceiros não autorizados.

Neste guia, descrevemos o que o HTTP e o HTTPS significam, como diferem e como afetam sua segurança online.

Também descrevemos em detalhe o nível de segurança de sites HTTPS para que você saiba quando tomar medidas adicionais para se proteger.

CONSELHO DE MESTRE: por mais que uma conexão HTTPS possa aprimorar a sua segurança, ela não pode proteger você de todas as ameaças. O HTTPS também não esconde os sites que você visita do seu provedor de internet.

Para aumentar a sua segurança, recomendamos usar uma VPN para ter uma camada adicional de criptografia no seu tráfego web. VPNs de primeira como a ExpressVPN usam criptografia de nível militar, a AES-256. Ela pode ser usada gratuitamente por 30 dias.

HTTP vs. HTTPS: qual é a diferença?

O HTTP (protocolo de transferência de hipertexto) e o HTTPS (protocolo de transferência de hipertexto seguro) são ambos protocolos de transferência de informações pela Web. A principal diferença entre os dois é o nível de segurança oferecido.

Como identificar um site HTTPS.

Veja se um site usa HTTPS ao procurar por um símbolo de cadeado na barra de endereço do seu navegador.

O HTTP transfere dados em texto simples, deixando eles vulneráveis a uma possível interceptação ou manipulação. Isso pode levar a vazamentos de dados ou ameaças, como os ataques man-in-the-middle.

O HTTPS é basicamente uma versão segura do HTTP. Ele usa o protocolo SSL (Secure Socket Layer) ou o TLS (Transport Layer Security) para criptografar e autenticar dados transferidos, garantindo que não sejam interceptados ou compreendidos por entidades não autorizadas.

Ainda que o HTTPS aumente sua segurança de forma significativa, ele não é impenetrável. Ele protege seus dados de ataques de Eavesdroping ou adulterações enquanto eles transitam entre o seu navegador e o servidor, mas não pode garantir uma segurança completa contra todos os tipos de ameaças cibernéticas.

Você permanece vulnerável a phishing, malware e outras vulnerabilidades enquanto navega por um site HTTPS. Além disso, seu provedor de internet pode ver todos os sites que você visita.

Para entender a fundo as diferenças entre o HTTP e o HTTPS, explicamos cada protocolo em mais detalhes aqui:

O que o HTTP realmente significa?

Em termos simples, o HTTP é uma linguagem universal que possibilita o funcionamento da internet. Sendo um protocolo de rede padrão, ele determina como as solicitações são formatadas e transmitidas entre navegador e servidores web distintos, e que ações devem ocorrer em resposta a comandos específicos.

Sempre que você insere uma URL no seu navegador, essa solicitação por informações armazenadas em um servidor web é transmitida por meio de HTTP, permitindo a comunicação entre sistemas e dispositivos diferentes.

O que o HTTPS realmente significa?

O HTTPS tem a mesma função que o HTTP, mas com uma camada adicional de criptografia e validação. Ele pode usar o SSL ou o TLS para proteger os dados transmitidos entre um navegador e um servidor web.

Conexões HTTPS também utilizam criptografia de chaves públicas para verificar se o servidor a que você está se conectando é o hospedeiro legítimo do site.

A criptografia e autenticação HTTPS impede ataques cibernéticos como sequestro de DNS, ataques man-in-the-middle e falsificação de domínio, que acontecem com mais frequência em conexões HTTP comuns e não seguras.

Resumo das diferenças entre HTTP e HTTPS

Confira abaixo uma tabela que explica as principais diferenças entre HTTP e HTTPS:

Atributo HTTP HTTPS
Velocidade Alta Alta
Criptografia Não Sim
Transmissão de dados Hipertexto Criptografada por SSL ou TLS
Autenticação Não Sim
Número de porta usado 80 443
Compatibilidade Ampla Ampla
Usos Comunicação não protegida entre navegadores e sites Comunicação protegida entre navegadores e sites
  • Velocidade: como o HTTPS requer um Handshake de SSL para iniciar a criptografia, ele pode ser um pouco mais lento que o HTTP. No entanto, quase não há diferença computacional entre os dois protocolos.
  • Criptografia: o HTTP não usa criptografia. Por isso, é relativamente fácil para agentes maliciosos acessarem os dados que passam entre o navegador e o servidor web. O HTTPS usa uma criptografia de chave pública para proteger os dados transmitidos.
  • Transmissão de dados: o HTTP transmite informações em Hipertexto aberto, ou seja, qualquer um que queira interceptar os dados conseguirá lê-los. O HTTPS transmite os dados em formato criptografado. Mesmo que sejam interceptados, eles não podem ser lidos.
  • Autenticação: o HTTP não oferece qualquer tipo de autenticação de sites. O HTTPS usa um certificado de autenticação SSL para verificar que um site é seguro.
  • Número de porta usado: por padrão, a comunicação HTTP usa a porta 80 e o HTTPS usa a porta 443.
  • Compatibilidade: como tanto o HTTP quanto o HTTPS são aspectos de base do funcionamento da internet, ambos são compatíveis com a grande maioria dos navegadores e de servidores web.
  • Usos: tanto o HTTP e o HTTPS são usados para facilitar a comunicação entre navegadores e servidores web, mas o HTTPS oferece comunicações mais seguras e criptografadas.

Riscos de segurança dos sites HTTP

Sites HTTP apresentam vários problemas de segurança por não contarem com criptografia e autenticação entre o navegador e o servidor web. Com isso, é muito mais fácil para criminosos interceptarem dados privados ou redirecionarem o seu tráfego web a sites maliciosos.

Por causa dessas vulnerabilidades, sites HTTP não devem ser considerados seguros e você deve ter cuidado ao compartilhar dados neles.

Confira abaixo uma lista com motivos mais detalhados do porquê o HTTP não é seguro e por que você deve evitar sites com apenas HTTP:

Dados não são criptografados no HTTP

O problema mais grave dos sites HTTP é que a informação transmitida entre seu navegador e o servidor web não é criptografada.

Resultados do teste Wireshark com o HTTP

Segundo nossos testes com o Wireshark, nossa atividade permaneceu visível em uma conexão HTTP.

A falta de criptografia faz com que conexões HTTP sejam um alvo ideal para ataques man-in-the-middle, em que agentes maliciosos interceptam (ou até mesmo alteram) os dados transmitidos entre seu navegador e o servidor.

Sem validação de sites

As conexões HTTP não oferecem nenhuma forma de validação ou autenticação de sites. Isso significa que agentes mal-intencionados podem criar sites falsos com URLs similares a de páginas verdadeiras. Assim, eles enganam usuários inocentes para inserirem suas credenciais de acesso em links falsos.

Exemplos de falsificação de domínio

A falsificação de domínio ocorre quando agentes maliciosos criam uma versão falsa de sites legítimos.

A falsificação de domínio, o nome dessa técnica, pode permitir que agentes maliciosos acessem dados pessoais dos usuários.

Sites HTTP podem ser redirecionados

Com uma técnica conhecida como sequestro de DNS, criminosos cibernéticos podem redirecionar tráfego com conexões HTTP inseguras para sites maliciosos. Com frequência, esses sites são projetados para serem idênticos ao site legítimo, visando roubar as informações pessoais de um usuário.

O seu provedor de internet pode monitorar todas as páginas web que você visita

Navegar com o HTTP não garante que você tenha privacidade, longe do olhar seu provedor de internet. A não ser que use uma VPN, o seu provedor de internet pode monitorar e registrar o nome de domínio e subpáginas, ou arquivos, que acessar nesse domínio.

Neste caso, todo o conteúdo que enviar e receber do site pode ser visto pelo seu provedor de internet, incluindo o texto e imagens da página, assim como buscas realizadas ou informações inseridas por você.

Os sites HTTPS são completamente seguros?

Em comparação ao HTTP, o HTTPS aumenta a sua segurança online significativamente. Como ele criptografa todos os dados transmitidos entre o seu navegador e o site visitado, é consideravelmente mais difícil interceptar ou adulterar os seus dados.

No entanto, o HTTPS não é perfeito, e não garante que um site seja legítimo e seguro, ou que seus dados permaneçam privados. Listamos abaixo alguns dos motivos disso:

Vulnerabilidades SSL/TLS

A segurança do HTTPS se baseia nos protocolos SSL/TLS (Secure Sockets Layer/Transport Layer Security), nos quais, algumas vezes, encontram-se vulnerabilidades. Ainda que essas sejam solucionadas rapidamente, sempre há um risco de que uma vulnerabilidade recém-descoberta ser explorada.

Ataques man-in-the-middle

Em alguns casos, um agente malicioso ainda consegue realizar ataques man-in-the-middle e interceptar os dados transmitidos entre você e o site visitado.

Como funcionam os ataques man-in-the-middle

Os ataques man-in-the-middle ainda podem ocorrer em conexões HTTPS, especialmente em Wi-Fi público.

Isso é muito mais difícil com o HTTPS, mas pode ocorrer caso alguém tenha acesso à chave SSL privada do site ou se eles podem explorar uma vulnerabilidade do protocolo SSL/TLS.

Ataques de phishing

O HTTPS protege apenas a conexão entre você e o site visitado. Ele não verifica o conteúdo do site em si.

Caso um site seja criado para enganar usuários ou fazer o phishing de informações, ele ainda consegue fazer isso em uma conexão HTTPS segura. Em outras palavras, um site de phishing pode usar uma conexão HTTPS assim como um site legítimo.

Autoridades de certificação

Os certificados que verificam a identidade de um site para HTTPS são emitidos por autoridades de certificação (CAs). Caso uma CA seja comprometida ou aja maliciosamente, ela pode emitir certificados fraudulentos que podem permitir que um criminoso se passe por um site legítimo.

Conteúdo misto

Caso um site HTTPS inclua recursos (como imagens ou scripts) de uma fonte sem HTTPS, o seu navegador pode carregar esse conteúdo inseguro e assim expor algumas das suas interações ao perigo.

O HTTPS não garante segurança em Wi-Fi público

Graças a adoção do HTTPS, redes Wi-Fi públicas são muito mais seguras que no passado. Agora os criminosos têm muito mais dificuldade em interceptar e adulterar as suas comunicações com sites ou redes abertas, porque os dados não são mais em texto simples.

Como uma conexão HTTPS funciona

O HTTPS cria uma conexão segura, mas não protege você de todos os riscos de segurança possíveis.

No entanto, o HTTPS não deixa o seu Wi-Fi público completamente seguro. E o mais importante, ele não protege suas solicitações de DNS. Um criminoso pode interceptar suas solicitações de DNS e redirecionar você a um servidor alternativo sob o controle dele.

O seu provedor de internet ainda consegue ver os sites que você visita

Ainda que o HTTPS possa impedir, em grande parte, que terceiros monitorem os detalhes do seu tráfego web, ele não impede que seu provedor de internet monitore os sites que você visita.

Ao visitar um site HTTPS, o seu provedor de internet pode ver e registrar o nome do site visitado, mas não a página específica. O seu provedor de internet também pode monitorar o tempo que você passa em cada página, o dispositivo usado, data e hora de conexão e o tamanho das suas solicitações.

Caso seja legalmente obrigado a isso, seu provedor de internet pode usar inspeção profunda de pacotes (DPI) para identificar os arquivos ou páginas web que estiver acessando, por mais improvável que seja.

O que o HTTPS não faz?

Confira abaixo um resumo de algumas ideias equivocadas que as pessoas têm sobre o HTTPS:

  • O HTTPS não garante que o site que você visita é legítimo ou seguro.
  • O HTTPS não impede o sequestro de DNS ou qualquer outra técnica usada para redirecionar o seu tráfego.
  • O HTTPS não esconde sua identidade de terceiros.
  • O HTTPS não oculta as suas atividades do seu provedor de internet.
  • O HTTPS não impede vazamentos de dados.
  • O HTTPS não protege você contra todos os riscos associados a redes Wi-Fi públicas.

Ainda que o HTTPS seja uma medida importante para navegar na Web com mais segurança, ele não garante uma proteção total. É apenas parte de um ecossistema de segurança mais amplo, que inclui outras ferramentas como senhas fortes, autenticação de dois fatores, criptografia VPN e melhores práticas gerais de navegação.

Preciso usar uma VPN em sites HTTPS?

Caso esteja preocupado com sua privacidade e segurança online, usar uma VPN em uma conexão HTTPS é uma excelente forma de obter uma camada adicional de proteção.

Se usar apenas sites HTTPS, a sua segurança online será muito maior, mas a segurança do protocolo não está no mesmo nível, nem mesmo supera, a proteção oferecida por uma VPN premium.

Enquanto o HTTPS protege sua comunicação com um site específico, uma VPN amplia essa segurança para sua conexão de internet como um todo. Ele cria um túnel de criptografia entre o seu dispositivo e um servidor VPN remoto, protegendo todo o seu tráfego web e não apenas a troca de dados com sites protegidos por HTTPS.

como uma rede privada virtual (VPN) funciona

As VPNs criam um túnel criptografado entre seu dispositivo e um servidor remoto.

Isso significa que o seu provedor de internet, governo, e bisbilhoteiros em potencial que estiverem na mesma rede que você (p.ex. em uma rede de Wi-Fi pública) não poderão ver o que você está fazendo online ou de onde você está se conectando. O seu endereço IP real ficará escondido.

Veja como usar uma VPN com o HTTP aumenta a sua privacidade e segurança:

Tráfego web completamente criptografado

O HTTPS criptografa apenas o seu tráfego de navegador, enquanto uma VPN oferece criptografia ponta a ponta de todos os dados que saem do seu dispositivo.

Caso esteja usando uma VPN de alta qualidade, essa criptografia usará a cifra AES com uma chave de 128 bits ou superior, muito mais segura que a criptografia usada por conexões HTTPS.

Mais privacidade e anonimato

Ao contrário de uma VPN, o HTTPS não é projetado para preservar sua privacidade ou anonimato online.

Por mais que uma VPN não garanta o anonimato, ela oferece uma camada adicional de privacidade, dificultando o monitoramento das suas atividades.

Uma VPN pode esconder as seguintes informações do seu provedor de internet e terceiros:

  • Seu endereço IP pessoal
  • Sua localização geográfica
  • Seus sites visitados
  • Seus aplicativos usados
  • O tempo que passou em diferentes sites e aplicativos
  • Quais arquivos você baixa ou faz o upload

Proteção contra Spoofing de DNS

Um dos principais problemas com o HTTPS é que ele não criptografa suas solicitações de DNS. Por isso, é vulnerável ao Spoofing de DNS, um processo em que agentes maliciosos podem redirecionar suas solicitações de DNS para sites falsos.

Uma VPN ajuda você a se proteger contra vazamentos DNS e mitiga um dos principais riscos associados ao HTTPS.

Guias relacionados

  1. Como criar o seu próprio servidor VPN

    Como criar o seu próprio servidor VPN

  2. Como desbloquear sites de qualquer lugar

    How to unbloc