Perguntas frequentes sobre HTTPS

HTTPS no Google

O que é criptografia?

A criptografia é o método moderno de proteger informações eletrônicas, assim como cofres e cadeados com senha costumavam proteger informações em papel. A criptografia de dados e dispositivos é uma implementação tecnológica da criptografia clássica, em que informações são convertidas em uma forma incompreensível (codificada) que só pode ser traduzida para uma forma compreensível (decodificada) com uma chave. Por exemplo, no caso da criptografia de dispositivo, o código é decifrado com um PIN que reordena informações ou com um algoritmo complexo sob instruções claras de um programa ou dispositivo. A criptografia usa a matemática para codificar e decodificar informações.

O que é HTTPS?

O protocolo de transferência de hipertexto (HTTP, na sigla em inglês) é o modo técnico pelo qual nossos navegadores se conectam a websites. O HTTPS é uma conexão de HTTP criptografada, o que a torna mais segura. Você sabe que a conexão com um site é segura quando HTTPS (e não HTTP) aparece no URL. A maioria dos navegadores também usa um ícone para indicar uma conexão segura. O Chrome, por exemplo, exibe um cadeado verde.

Por que preciso usar HTTPS?

É importante que você proteja seu site com HTTPS, mesmo que não lide com comunicações confidenciais. O HTTPS protege a integridade do site, bem como a privacidade e segurança dos usuários. Além disso, recursos novos e avançados da Web estão restritos a sites que oferecem HTTPS.

Qual é o objetivo do Google com HTTPS?

O Google acredita que uma criptografia forte é fundamental para a segurança de todos os usuários da Web. Por isso, estamos trabalhando para oferecer suporte à criptografia em todos os produtos e serviços da Google. O HTTPS na página do Google exibe nosso progresso em tempo real para atingir esse objetivo.

Por que a criptografia é importante?

Nossas comunicações passam por um conjunto complexo de redes para ir do ponto A ao B. Durante esse caminho, elas ficam suscetíveis à interceptação por destinatários mal-intencionados que sabem como manipular essas redes. Da mesma forma, usamos dispositivos portáteis que são mais do que apenas telefones: eles contêm nossas fotos, os registros das nossas comunicações, nossos e-mails e dados privados armazenados em aplicativos em que nos mantemos sempre conectados para nossa conveniência. A perda ou o roubo de um dispositivo significa que estamos vulneráveis caso alguém acesse nossas informações mais privadas, colocando-nos em risco de roubo de identidade, fraude financeira e danos pessoais.

A criptografia nos protege desses cenários. As comunicações criptografadas que viajam pela Web podem ser interceptadas, mas o conteúdo delas será incompreensível. Elas são chamadas de "texto cifrado", e as mensagens não criptografadas são chamadas de "texto simples". Em relação à criptografia de dispositivos, sem o PIN ou código necessário para descriptografar um dispositivo, um possível ladrão não conseguiria acessar o conteúdo em um smartphone e somente poderia apagar todo o conteúdo. Perder dados é ruim, mas é melhor do que perder o controle sobre a própria identidade.

Quais são os tipos de criptografia?

A criptografia em trânsito protege o fluxo de informações desde o usuário final até os servidores de terceiros. Por exemplo, quando você acessa um site de compras e insere suas informações do cartão de crédito, uma conexão segura impede que essas informações sejam interceptadas por terceiros durante o caminho. Somente você e o servidor ao qual se conectou podem descriptografar as informações.

Na criptografia de ponta a ponta, somente o remetente e os destinatários têm as chaves para descriptografar as mensagens. O provedor de serviços que controla o sistema pelo qual os usuários se comunicam não pode acessar o conteúdo real das mensagens.

A criptografia em repouso protege as informações quando elas não estão em trânsito. Por exemplo, o disco rígido do seu computador pode usar a criptografia em repouso para garantir que outra pessoa não acesse os arquivos caso o computador seja roubado.

Quais protocolos estão incluídos nestes gráficos?

Estes gráficos representam as solicitações feitas por HTTP, HTTP/2, HTTPS, SPDY e QUIC.

Quais protocolos são considerados criptografados?

As solicitações feitas por HTTPS, SPDY e QUIC são consideradas criptografadas porque incorporam TLS por padrão. O HTTP/2 também está incluído, pois o Google não oferece suporte a conexões HTTP/2 não criptografadas.

Onde posso encontrar dados sobre outros protocolos?

Atualmente, o Google publica dados sobre o uso de TLS nos protocolos de e-mail do Gmail. Outros protocolos que não estão listados acima não são contemplados por esse relatório no momento.

Por que a Pesquisa Google não está incluída no gráfico de produtos?

A Pesquisa Google compartilha infraestrutura de servidores com vários outros produtos no Google. Devido ao compartilhamento dessa infraestrutura, se a Pesquisa Google fosse separada em uma categoria própria, não seria possível garantir a precisão dos dados.

Vocês têm dados precisos anteriores a dezembro de 2013?

Não. As fontes de dados do Google anteriores a dezembro de 2013 não são precisas o suficiente para avaliar a implantação de HTTPS.

Como vocês medem os dados de uso de HTTPS?

Os dados são fornecidos por usuários do Chrome que optam por compartilhar estatísticas de uso. A classificação por país é baseada no endereço IP associado ao navegador dos usuários.

Por que estes 10 países foram escolhidos para as estatísticas de uso de HTTPS?

Para comparar o uso de HTTPS no mundo todo, selecionamos 10 países com populações consideráveis de usuários do Chrome em diferentes regiões geográficas.

 

HTTPS nos principais sites [arquivado]

O que significa "O site funciona com HTTPS"?

Consideramos que o site funciona com HTTPS quando o Googlebot acessa https://domain e não é redirecionado a um local HTTP.

O que significa "Config. de TLS moderno"?

Desde fevereiro de 2016, consideramos que os sites têm HTTPS moderno quando oferecem TLS v1.2 com um pacote de criptografia que usa um modo de operação AEAD (site em inglês):

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

O que significa "HTTPS padrão"?

No HTTPS padrão, o site redireciona as solicitações de HTTP para um URL HTTPS. É possível que isso aconteça mesmo que o site rejeite solicitações de HTTPS para o mesmo domínio (por exemplo, http://domain redireciona para https://subdomain.domain, mas https://domain recusa a conexão).
Mesmo que o site esteja marcado como HTTPS padrão, não é garantido que todo o tráfego de cada uma das páginas do site será por meio de HTTPS. O Chrome informa sobre o estado de HTTPS de todas as páginas que você visita. Caso você use outro navegador, é importante conhecer a forma como ele indica diferentes estados de HTTPS.

Quais são as fontes de dados?

Usamos uma combinação de dados do Google e públicos, como os principais sites do Alexa (em inglês). Os dados foram coletados durante alguns meses no início de 2016 e formam a base da lista.

A lista está organizada de acordo com a popularidade?

Não. A lista contém os 100 principais sites não relacionados ao Google, apresentados em ordem alfabética e divididos em três categorias de implantação de HTTPS.

Sou webmaster, meu site está na lista e preciso de ajuda na mudança para HTTPS. O Google pode ajudar?

Oferecemos suporte limitado aos sites da lista durante a transição. Confira as mensagens do seu e-mail security@domain para mais informações ou entre em contato com nossa equipe pelo endereço security@google.com.

 

Transparência dos certificados

O que é uma autoridade de certificação?

Uma autoridade de certificação (CA, na sigla em inglês) é uma organização que emite certificados digitais para operadores de sites. Os sistemas operacionais (por exemplo, Mac OS X e Windows) e os navegadores da Web (por exemplo, Google Chrome, Firefox, Safari) contêm um conjunto de autoridades de certificação raiz confiáveis pré-carregadas. Os sistemas operacionais modernos geralmente contêm 200 CAs confiáveis, algumas delas operadas por governos. Os navegadores da Web confiam igualmente em todas as CAs. Além disso, muitas CAs delegam a CAs intermediárias a habilidade de emitir certificados.

O que é um certificado?

Quando você visita um website por meio de uma conexão segura (HTTPS), ele fornece um certificado digital ao seu navegador. Esse certificado identifica o nome do host de um site e é assinado pela CA que verificou o proprietário do site. O usuário poderá confiar na prova de identidade representada em um certificado caso ele confie na CA.

Por que a transparência dos certificados é importante?

O modelo atual exige que todos os usuários confiem em centenas de organizações de CAs para a emissão correta de certificados a qualquer site. Porém, há casos em que erro humano ou falsificação de identidade podem levar a emissões incorretas de certificados. O projeto Certificate Transparency (CT) altera o processo de emissão para exigir que os certificados sejam inscritos em registros publicamente verificáveis como anexos à prova de falsificação para serem considerados válidos pelo navegador da Web do usuário. Ao exigir que os certificados sejam inscritos para esses registros públicos do CT, qualquer parte interessada pode examinar todos os certificados emitidos por uma autoridade. Assim, a responsabilidade das organizações aumenta, tornando o sistema mais confiável. Futuramente, quando o usuário acessar um site com HTTPS, os navegadores da Web poderão exibir o cadeado de conexão segura somente se o certificado do site estiver nos registros do CT.

Somente a organização responsável por um determinado domínio saberá quais certificados emitidos são autorizados. Caso um certificado não seja autorizado, o usuário do domínio deve entrar em contato com a CA que o emitiu para determinar as etapas adequadas.

O que é um registro de transparência dos certificados?

Um registro de transparência dos certificados é um servidor que implementa o RFC 6962 (em inglês), permitindo que qualquer parte envie certificados emitidos por uma CA publicamente confiável. Depois que um registro aceita um certificado, as propriedades criptográficas do registro garantem que a entrada não possa ser removida ou editada.

De onde vêm os certificados exibidos aqui?

Os certificados do Transparency Report são recuperados de um conjunto de registros de transparência de certificados ativos (site em inglês). Muitos dos certificados nesses registros são enviados pelas CAs durante o processo de emissão. Além disso, são adicionados certificados que a Google encontra ao indexar a Web. Os proprietários de sites podem pesquisar nesse site os nomes de domínios que controlam para garantir que não haja qualquer emissão incorreta de certificados fazendo referência aos domínios deles.

Por que meu certificado não aparece aqui?

Os certificados aparecem aqui quando foram incluídos em pelo menos um registro de CT. Você pode enviar seu próprio certificado para um registro. No entanto, se isso não funcionar, talvez seja necessário entrar em contato com sua CA. Os próprios usuários técnicos podem enviar certificados para registros usando ferramentas como as de código aberto oferecidas em https://certificate-transparency.org (em inglês).

Por que alguns sites têm mais de uma emissora de certificado?

Muitas organizações de grande porte usam mais de uma CA para atender a diferentes necessidades, o que pode incluir obrigações contratuais, além de considerações e custos de implementação.

Por que alguns certificados listam mais de um nome DNS?

Muitas organizações preferem emitir um único certificado para ser usado em vários sites. Por exemplo, sites maiores costumam usar vários subdomínios para as propriedades (por exemplo, www.google.com, mail.google.com e accounts.google.com), mas usam um único certificado listando todos os subdomínios.