Funcionamento do HTTPS

O protocolo HTTPS usa os certificados SSL para criptografar dados online. Com os dados criptografados, mesmo se alguém interceptar a mensagem, não conseguirá entende-la. Apenas o emissor e o receptor, que conhece o certificado, consegue decriptar a mensagem. Os certificados SSL contém uma chave pública do proprietário do computador e esse proprietário compartilha a chave pública com quem precisa, de forma que outros usuários podem encriptar as mensagens para o proprietário. Durante a transferência, a confiabilidade fica por conta do protocolo TLS/SSL. Na mensagem HTTPS tudo é criptografado: cabeçalhos, requisições e respostas.

O protocolo SSL é adequado para uso com o HTTP porque pode fornecer proteção, mesmo se apenas uma das partes da comunicação seja autenticada. Isso é muito comum nas transações HTTP na internet, em que, em geral, apenas o servidor é autenticado. Essa autenticação ocorre via verificação do certificado do servidor realizada pelo cliente.

Como o HTTPS é um canal seguro sobre uma rede insegura, ele protege a comunicação de escutas ilegais (eavesdropping) e de ataques de homem-no-meio (man-in-the-middle). Você lembra que estudamos esses dois problemas de segurança? Para relembrar: Eavesdropping é uma técnica para violação da confidencialidade que realiza leitura não autorizada de mensagens. Já homem-no-meio é a técnica de se interpor algo no meio de uma comunicação.

A Figura 2 ilustra a comunicação entre cliente e servidor usando HTTPS. Os certificados são armazenados e a comunicação que flui entre cliente e servidor é criptografada usando a chave contida no certificado.