Mapeamento global do HTTPS (Parte 1)

HTTPS – o que é e porque devo me importar

O HTTPS (Hyper Text Transfer Protocol Secure) é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais.

Uma boa razão para que a comunicação pela internet use o HTTPS é evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros. Algo indispensável nesse universo (quase) distópico em que atores estatais (agências norte-americanas, britânicas, chinesas, russas, etc…) e não-estatais (cibercriminosos, gestores de redes corporativas, wi-fi hot-spots, etc…) pretendem espiar o conteúdo trafegado pela internet.

Outro motivo para o uso do HTTPS – além da privacidade – é a segurança na navegação. Com o uso do protocolo há a garantia de que o conteúdo enviado/recebido não possui código injetado (publicidade, links maliciosos) por terceiro.

Embora a necessidade e a utilidade do HTTPS seja ignorada pela maioria dos usuários de internet, há consenso entre a comunidade de segurança cibernética de que a adesão ao protocolo seguro deve ser plena.

Nesse sentido o Google em seu Transparency Report realizou extensa avaliação sobre uso do HTTPS em suas plataformas e indicou que sua meta é alcançar 100% de uso em suas aplicações:

Security is a top priority at Google. We are investing and working to make sure that our sites and services provide modern HTTPS by default. Our goal is to achieve 100% encryption across our products and services.

Outro passo dado nessa direção foi a declaração de que, a partir de julho de 2018, os sites utilizando HTTP seriam indicados como “não seguros” pelo navegador Chrome (também do Google).

Assim, considerando como desejável a migração de todo o tráfego HTTP para HTTPS, qual o estágio de adesão ao HTTPS em termos globais? Essa migração parece um objetivo tangível no curto prazo?

Mapeamento Global

A primeira etapa do nosso mapeamento global do HTTPS se concentrou em identificar os hosts e quais apresentaram resposta nos protocolos HTTP e HTTPS, considerando o espaço amostral do IPV4.

A identificação dos hosts demonstrou – sem muita surpresa – que a internet ainda é uma rede predominantemente norte-americana, pois 39,8% do total foi geolocalizado nos Estados Unidos.

A lista do Top-20 países (Gráfico 1) não apresenta grandes surpresas, exceto pelo México, com 8,0%, em terceiro lugar. O Brasil aparece em 7º lugar, com 2,2% do total dos hosts identificados pelo mapeamento global.

Gráfico 1 – Distribuição de hosts entre países

Além da concentração de hosts nos Estados Unidos, é possível observar que os países do Top-20 respondem por 85,4% do total, diferença significativa frente aos demais 216 países e territórios considerados no mapeamento.

A alta densidade de serviços em uma pequena quantidade de países sugere que soluções em escala podem ser empreendidas em nível nacional para ampliar a adesão ao HTTPS globalmente.

Adesão ao HTTPS entre os países

A migração de um serviço em HTTP para HTTPS envolve algum nível de esforço por parte do administrador de rede: aquisição do certificado digital, instalação e renovação do mesmo (certificados tem prazo de validade).

Combinado o esforço de implementação e a expectativa do HTTPS como protocolo padrão, podemos conceber alguns indicadores para observar quais países demonstram maior maturidade quanto ao uso do protocolo seguro.

O mapa abaixo ilustra a taxa de adesão ao protocolo HTTPS considerando o total de hosts identificados, sendo os valores exibidos no mapa correspondem ao percentual de hosts respondendo em HTTPS.

Mapa em tela cheia

Os indicadores a seguir consideraram um número mínimo de 8.000 hosts – equivalente a 0,01% do total – com vistas a minimizar comparações impróprias. Os 119 países nessa condição representam 99,74% do total do espaço amostral e pouco mais da metade do total de 235 países contemplados no levantamento.

O primeiro indicador é a proporção de hosts que respondem a uma requisição HTTPS. A tabela a seguir indica (em ordem decrescente) a adoção do protocolo para cada país, liderada pelos Mônaco (95,6%).

O segundo indicador da avaliação é a relação entre serviços que suportam HTTP e HTTPS. Considerando a meta de migração do primeiro para o segundo, atribui-se a maior maturidade ao país que apresentar proporção de HTTPS superior a de HTTP.

Clique aqui para explorar os dados em tela cheia e com filtros habilitados.

Apenas 21 países apresentaram resultados em que mais hosts responderam HTTPS que HTTP. Exceto por Mônaco, Tunísia, Emirados Árabes Unidos, Equador, Tailândia, Venezuela, Guam, Montenegro, Eslovênia e Espanha, mesmo nos países que o HTTPS superou o HTTP, a presença deste protocolo ainda supera a metade do total de hosts.

Casos em que HTTPS supera HTTP

Por fim, uma visão global pode ser resumida por um gráfico que agregue as três principais variáveis em análise: HTTPS (proporcional – eixo X), HTTP (proporcional – eixo Y) e hosts (absoluto – dimensão da esfera).

O gráfico também apresenta os países agrupados pelas cores dos continentes: azul escuro (América do Norte, Central e Caribe), azul claro (Europa), roxo (Ásia), marrom (África), dourado (Oceania) e verde (América do Sul).

Relação entre HTTPS, HTTP e quantidade de hosts

O gráfico sugere que a maior quantidade de países permanece com maior adesão ao HTTP que o HTTPS (50 países estão no quadrante superior esquerdo).

No quadrante superior direito estão 59 países que aparentam um estado de migração do HTTP para o HTTPS.

Por fim, apenas 10 países estão no quadrante inferior direito – que seria o objetivo pretendido -, no qual o uso do HTTPS supera o HTTP.

Brasil

Embora seja o 7º maior país em quantidade de hosts, o Brasil ocupa apenas a 64ª posição em termos de adoção do HTTPS (48,0%). Na relação entre HTTPS (48,0%) e HTTP (73,7%) o Brasil aparece em 60º lugar.

Numa comparação com seus pares globais (similar quantidade de hosts – mais de 1 milhão e menos de 3,5 milhões) Brasil está abaixo da média.

País HTTPS HTTP Hosts
Polônia 79.0% 57.2% 1.062.133
Alemanha 78.3% 55.8% 3.477.911
Holanda 72.0% 76.2% 1.026.455
Reino Unido 68.9% 73.0% 1.833.893
Canadá 65.5% 71.8% 1.212.231
Japão 64.2% 75.5% 2.123.938
Itália 63.5% 58.5% 1.432.376
França 62.3% 79.8% 1.495.239
Taiwan 54.8% 67.7% 1.485.783
Brasil 48.0% 73.7% 1.806.231
Índia 45.9% 74.3% 1.170.334
Coreia do Sul 43.7% 76.4% 1.515.900
Rússia 39.9% 85.9% 1.547.637
Média 60.5% 71.2% 1.630.005

Comparação entre o Brasil e países similares

Numa comparação orientada por critério geopolítico, considerando os BRICS – Brasil, China, Índia, Rússia e África do Sul – o Brasil apresenta o melhor resultado do grupo em adoção do HTTPS.

A posição do grupo, contudo, é refletida graficamente num cluster no quadrante superior esquerdo. Os países que compõem o G7 – Alemanha, Canadá, Estados Unidos, França, Japão, Itália e Reino Unido – igualmente ocupam uma posição agrupada no gráfico, mas no quadrante superior direito.

Adoção HTTPS e HTTP – BRICS e G7

A comparação entre os BRICS e G7 indica que a existência de déficit na adoção do protocolo seguro pode ser influenciado pelos mesmos fatores sócio-econômicos que orientam a classificação dos países em grupos diferentes, respectivamente emergentes e países desenvolvidos.

Conclusão

Ainda que exista vontade declarada por grandes partes interessadas – Google e Mozilla – de migrar o tráfego de internet para o HTTPS, o estágio atual do protocolo seguro ainda é tímido. Na média global  apenas 53,2% dos hosts respondem ao HTTPS, sendo que a maioria ainda utiliza o HTTP (74,8%).

O Brasil não ocupa posição de destaque no que se refere ao uso do HTTPS, colocado em 64º lugar no uso do protocolo seguro e 60º na relação entre HTTPS e HTTP. Em colocação abaixo da média para seus pares globais (países com quantidade similar de hosts).

Além da baixa adesão, a proporção entre o HTTPS e HTTP sugere que a migração para o uso exclusivo do protocolo seguro é um projeto de improvável sucesso no curto prazo, pois apenas 21 países apresentaram maior adesão ao protocolo seguro que o convencional.

 

* Nos partes seguintes o estudo vai ser aprofundado para avaliar o Brasil em termos de sistemas autônomos e das características dos certificados utilizados.

Atualizado em 05/04:
Acesse a parte 2 do mapeamento.

Site Footer