HTTPS – o que é e porque devo me importar
O HTTPS (Hyper Text Transfer Protocol Secure) é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais.
Uma boa razão para que a comunicação pela internet use o HTTPS é evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros. Algo indispensável nesse universo (quase) distópico em que atores estatais (agências norte-americanas, britânicas, chinesas, russas, etc…) e não-estatais (cibercriminosos, gestores de redes corporativas, wi-fi hot-spots, etc…) pretendem espiar o conteúdo trafegado pela internet.
Outro motivo para o uso do HTTPS – além da privacidade – é a segurança na navegação. Com o uso do protocolo há a garantia de que o conteúdo enviado/recebido não possui código injetado (publicidade, links maliciosos) por terceiro.
Embora a necessidade e a utilidade do HTTPS seja ignorada pela maioria dos usuários de internet, há consenso entre a comunidade de segurança cibernética de que a adesão ao protocolo seguro deve ser plena.
Nesse sentido o Google em seu Transparency Report realizou extensa avaliação sobre uso do HTTPS em suas plataformas e indicou que sua meta é alcançar 100% de uso em suas aplicações:
Security is a top priority at Google. We are investing and working to make sure that our sites and services provide modern HTTPS by default. Our goal is to achieve 100% encryption across our products and services.
Outro passo dado nessa direção foi a declaração de que, a partir de julho de 2018, os sites utilizando HTTP seriam indicados como “não seguros” pelo navegador Chrome (também do Google).
Assim, considerando como desejável a migração de todo o tráfego HTTP para HTTPS, qual o estágio de adesão ao HTTPS em termos globais? Essa migração parece um objetivo tangível no curto prazo?
Mapeamento Global
A primeira etapa do nosso mapeamento global do HTTPS se concentrou em identificar os hosts e quais apresentaram resposta nos protocolos HTTP e HTTPS, considerando o espaço amostral do IPV4.
A identificação dos hosts demonstrou – sem muita surpresa – que a internet ainda é uma rede predominantemente norte-americana, pois 39,8% do total foi geolocalizado nos Estados Unidos.
A lista do Top-20 países (Gráfico 1) não apresenta grandes surpresas, exceto pelo México, com 8,0%, em terceiro lugar. O Brasil aparece em 7º lugar, com 2,2% do total dos hosts identificados pelo mapeamento global.
Gráfico 1 – Distribuição de hosts entre países
Além da concentração de hosts nos Estados Unidos, é possível observar que os países do Top-20 respondem por 85,4% do total, diferença significativa frente aos demais 216 países e territórios considerados no mapeamento.
A alta densidade de serviços em uma pequena quantidade de países sugere que soluções em escala podem ser empreendidas em nível nacional para ampliar a adesão ao HTTPS globalmente.
Adesão ao HTTPS entre os países
A migração de um serviço em HTTP para HTTPS envolve algum nível de esforço por parte do administrador de rede: aquisição do certificado digital, instalação e renovação do mesmo (certificados tem prazo de validade).
Combinado o esforço de implementação e a expectativa do HTTPS como protocolo padrão, podemos conceber alguns indicadores para observar quais países demonstram maior maturidade quanto ao uso do protocolo seguro.
O mapa abaixo ilustra a taxa de adesão ao protocolo HTTPS considerando o total de hosts identificados, sendo os valores exibidos no mapa correspondem ao percentual de hosts respondendo em HTTPS.
Os indicadores a seguir consideraram um número mínimo de 8.000 hosts – equivalente a 0,01% do total – com vistas a minimizar comparações impróprias. Os 119 países nessa condição representam 99,74% do total do espaço amostral e pouco mais da metade do total de 235 países contemplados no levantamento.
O primeiro indicador é a proporção de hosts que respondem a uma requisição HTTPS. A tabela a seguir indica (em ordem decrescente) a adoção do protocolo para cada país, liderada pelos Mônaco (95,6%).
O segundo indicador da avaliação é a relação entre serviços que suportam HTTP e HTTPS. Considerando a meta de migração do primeiro para o segundo, atribui-se a maior maturidade ao país que apresentar proporção de HTTPS superior a de HTTP.
Clique aqui para explorar os dados em tela cheia e com filtros habilitados.
Apenas 21 países apresentaram resultados em que mais hosts responderam HTTPS que HTTP. Exceto por Mônaco, Tunísia, Emirados Árabes Unidos, Equador, Tailândia, Venezuela, Guam, Montenegro, Eslovênia e Espanha, mesmo nos países que o HTTPS superou o HTTP, a presença deste protocolo ainda supera a metade do total de hosts.
Casos em que HTTPS supera HTTP
Por fim, uma visão global pode ser resumida por um gráfico que agregue as três principais variáveis em análise: HTTPS (proporcional – eixo X), HTTP (proporcional – eixo Y) e hosts (absoluto – dimensão da esfera).
O gráfico também apresenta os países agrupados pelas cores dos continentes: azul escuro (América do Norte, Central e Caribe), azul claro (Europa), roxo (Ásia), marrom (África), dourado (Oceania) e verde (América do Sul).
Relação entre HTTPS, HTTP e quantidade de hosts
O gráfico sugere que a maior quantidade de países permanece com maior adesão ao HTTP que o HTTPS (50 países estão no quadrante superior esquerdo).
No quadrante superior direito estão 59 países que aparentam um estado de migração do HTTP para o HTTPS.
Por fim, apenas 10 países estão no quadrante inferior direito – que seria o objetivo pretendido -, no qual o uso do HTTPS supera o HTTP.
Brasil
Embora seja o 7º maior país em quantidade de hosts, o Brasil ocupa apenas a 64ª posição em termos de adoção do HTTPS (48,0%). Na relação entre HTTPS (48,0%) e HTTP (73,7%) o Brasil aparece em 60º lugar.
Numa comparação com seus pares globais (similar quantidade de hosts – mais de 1 milhão e menos de 3,5 milhões) Brasil está abaixo da média.
País | HTTPS | HTTP | Hosts |
Polônia | 79.0% | 57.2% | 1.062.133 |
Alemanha | 78.3% | 55.8% | 3.477.911 |
Holanda | 72.0% | 76.2% | 1.026.455 |
Reino Unido | 68.9% | 73.0% | 1.833.893 |
Canadá | 65.5% | 71.8% | 1.212.231 |
Japão | 64.2% | 75.5% | 2.123.938 |
Itália | 63.5% | 58.5% | 1.432.376 |
França | 62.3% | 79.8% | 1.495.239 |
Taiwan | 54.8% | 67.7% | 1.485.783 |
Brasil | 48.0% | 73.7% | 1.806.231 |
Índia | 45.9% | 74.3% | 1.170.334 |
Coreia do Sul | 43.7% | 76.4% | 1.515.900 |
Rússia | 39.9% | 85.9% | 1.547.637 |
Média | 60.5% | 71.2% | 1.630.005 |
Comparação entre o Brasil e países similares
Numa comparação orientada por critério geopolítico, considerando os BRICS – Brasil, China, Índia, Rússia e África do Sul – o Brasil apresenta o melhor resultado do grupo em adoção do HTTPS.
A posição do grupo, contudo, é refletida graficamente num cluster no quadrante superior esquerdo. Os países que compõem o G7 – Alemanha, Canadá, Estados Unidos, França, Japão, Itália e Reino Unido – igualmente ocupam uma posição agrupada no gráfico, mas no quadrante superior direito.
Adoção HTTPS e HTTP – BRICS e G7
A comparação entre os BRICS e G7 indica que a existência de déficit na adoção do protocolo seguro pode ser influenciado pelos mesmos fatores sócio-econômicos que orientam a classificação dos países em grupos diferentes, respectivamente emergentes e países desenvolvidos.
Conclusão
Ainda que exista vontade declarada por grandes partes interessadas – Google e Mozilla – de migrar o tráfego de internet para o HTTPS, o estágio atual do protocolo seguro ainda é tímido. Na média global apenas 53,2% dos hosts respondem ao HTTPS, sendo que a maioria ainda utiliza o HTTP (74,8%).
O Brasil não ocupa posição de destaque no que se refere ao uso do HTTPS, colocado em 64º lugar no uso do protocolo seguro e 60º na relação entre HTTPS e HTTP. Em colocação abaixo da média para seus pares globais (países com quantidade similar de hosts).
Além da baixa adesão, a proporção entre o HTTPS e HTTP sugere que a migração para o uso exclusivo do protocolo seguro é um projeto de improvável sucesso no curto prazo, pois apenas 21 países apresentaram maior adesão ao protocolo seguro que o convencional.
* Nos partes seguintes o estudo vai ser aprofundado para avaliar o Brasil em termos de sistemas autônomos e das características dos certificados utilizados.
Atualizado em 05/04:
Acesse a parte 2 do mapeamento.