HTTPS vs VPN: ainda preciso de VPN se todo site usa HTTPS?

A pergunta HTTPS vs VPN é feita muito agora que quase todo site tem TLS. O raciocínio soa apertado: "Se meu navegador mostra o cadeado, meu tráfego está criptografado, então por que pagar por uma VPN?" O raciocínio também é incompleto de um jeito específico que esta peça vai percorrer.

Resposta curta antes de tudo: HTTPS criptografa o conteúdo do que você envia a um site específico. Uma VPN criptografa os metadados sobre quais sites você visita, quando, com que frequência, e de onde. Ficam em camadas diferentes da pilha de rede e protegem contra tipos diferentes de observadores. São complementares, não redundantes.

O que HTTPS protege

Quando você carrega https://example.com/private-page, TLS faz três coisas entre seu navegador e example.com:

Autentica o servidor. O handshake TLS verifica que você está falando com o example.com real, não um impostor.
Criptografa o conteúdo. Qualquer coisa enviada dentro da conexão (caminho da URL, cabeçalhos, corpo, cookies) é criptografada. Seu provedor não pode ler o conteúdo da página. Um atacante de cafeteria no Wi-Fi local também não.
Protege integridade. A conexão tem checagens criptográficas de integridade, então um atacante não pode silenciosamente modificar os bytes em voo sem quebrar a conexão.

Isso é muita coisa. Cobertura HTTPS é genuinamente forte. Em 2026, mais de 95% da web aberta é apenas HTTPS, e navegadores modernos avisam alto nas poucas exceções.

O que HTTPS ainda vaza

A alegação "conteúdo criptografado" é verdade. A alegação "tudo criptografado" não é. Várias peças de metadados vazam de uma conexão HTTPS típica:

SNI (Server Name Indication)

Quando seu navegador inicia um handshake TLS pra um site, diz ao servidor qual hostname quer conectar. Isso é necessário porque um IP frequentemente hospeda muitos sites, e o servidor precisa saber qual certificado mandar de volta. O hostname é mandado em texto plano no início do handshake.

Qualquer um observando a rede vê o hostname. Seu provedor sabe que você conectou a nytimes.com mesmo que não possa ler qual artigo está lendo. Seu operador de rede no aeroporto vê o mesmo.

Encrypted Client Hello (ECH) é uma correção em andamento pra isso. Cloudflare, Google e Mozilla suportam. Maioria da web ainda não. Em 2026, SNI é texto plano pra vasta maioria dos sites que você visita.

Queries DNS

Antes do seu navegador poder conectar a nytimes.com, tem que resolver o nome pra um IP. Por padrão, essa query vai pro servidor DNS do seu provedor em texto plano. Seu provedor vê o hostname resolvido mesmo antes do SNI acontecer.

DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) corrigem isso pra usuários que configuram. Firefox faz DoH por padrão em algumas regiões. Maioria dos usuários na maioria das plataformas ainda usa DNS texto plano. Temos uma peça mais profunda em como vazamentos DNS expõem localização que percorre os modos de falha.

IP de destino

Mesmo se SNI é criptografado e DNS é privado, o endereço IP de destino é em texto plano. Tem que ser: roteadores ao longo do caminho usam pra encaminhar pacotes. Um observador mapeando IP-pra-domínio (que é trivial; rDNS, Censys, Shodan, mesmo só rodando um crawler) geralmente pode descobrir qual site você está visitando só do IP, especialmente pra sites em infraestrutura dedicada.

A exceção é sites grandes hospedados em CDN onde um IP serve milhares de domínios (endereços anycast da Cloudflare, nós edge AWS CloudFront). Nesse caso, o IP sozinho não é informativo. SNI geralmente preenche o gap.

Forma do tráfego

Mesmo se tudo acima estivesse perfeitamente criptografado, um observador pode fazer fingerprint do tipo de atividade observando tamanhos de pacote, timing de pacote, e padrões de conexão. Streaming de vídeo tem um padrão reconhecível de rajada-e-quietude. Videochamadas têm um fluxo bidirecional estável em taxas características. Carregar uma página web típica é uma enxurrada de pequenas requisições seguida de um download grande. Análise de tráfego sofisticada pode identificar sites específicos e até vídeos específicos desse fingerprint, especialmente pra destinos de alto tráfego com conteúdo cacheável.

Esse tipo de análise é raro na prática pra usuários individuais e comum pra adversários no nível de Estado. Vale saber que existe.

Metadados de conexão

Hora de conexão, duração e contagens de byte são todas visíveis à rede. Seu provedor sabe que você conectou a algo às 21h47 e ficou conectado por 23 minutos e transferiu 47 MB. Mesmo com tudo mais escondido, a existência e padrão da conexão é metadado.

O que uma VPN protege

Um túnel VPN criptografa sua conexão de rede inteira entre seu dispositivo e o servidor VPN. Seu provedor, o operador local de Wi-Fi, o portal cativo, e qualquer outro observando o caminho entre você e o servidor VPN só veem bytes criptografados fluindo pro IP do provedor de VPN.

Isso significa, da perspectiva do seu provedor:

Eles veem uma conexão, pro IP do servidor VPN.
Não podem ler o SNI de qualquer site que você visita, porque toda data SNI está dentro do túnel criptografado.
Não podem ler suas queries DNS, porque DNS acontece dentro do túnel e resolve pelo resolver do provedor de VPN.
Veem a forma do tráfego de uma grande conexão agregada (navegação, streaming, chamadas, todos multiplexados dentro do mesmo túnel), não a forma por site que veriam de outra forma.

O que ainda veem: que você tem uma conexão VPN, o IP do servidor VPN, a hora que conectou, a duração, e os bytes totais transferidos. Os metadados sobre sua conexão VPN em si são visíveis. Os metadados sobre o que você faz dentro dela não.

A mudança de confiança

Uma VPN não elimina o problema do observador. Move a fronteira de confiança.

Antes de uma VPN, seu provedor vê tudo: os destinos no nível IP, o SNI, o DNS, os padrões de tráfego. Depois de uma VPN, seu provedor não vê nada útil, mas o provedor de VPN vê o que o provedor costumava ver. O provedor de VPN se torna o novo provedor pra fins de privacidade.

Se isso é melhoria de privacidade depende inteiramente se você confia mais no provedor de VPN do que no seu provedor. Razões pra confiar mais num provedor de VPN pago do que num provedor típico:

O modelo de negócio da VPN é privacidade. Se são pegos logando ou vendendo dados, clientes saem. O modelo de negócio do provedor é conectividade, frequentemente subsidiado por targeting de anúncios e venda de dados.
VPNs reputáveis têm jurisdições amigáveis à privacidade, alegações no-logs auditadas, e políticas claras. Maioria dos provedores não.
VPNs não têm mandato regulatório pra reter dados de conexão. Muitos provedores têm (UK, Austrália, partes da UE).

Razões pra ser cauteloso:

O provedor de VPN pode em princípio logar tudo. O ganho de privacidade é condicional à honestidade e competência operacional deles.
VPNs grátis em particular frequentemente têm modelos de negócio que monetizam dados de usuário. Uma VPN grátis geralmente é downgrade de privacidade comparada a um provedor grande.
Alegações auditadas envelhecem. Um provedor que estava limpo três anos atrás pode ter mudado dono, infraestrutura, ou equipe.

Pra nós especificamente: ainda não temos auditoria independente de terceiros das nossas alegações no-logs. Nos comprometemos com uma em 2026 e publicaremos os resultados completos. Até lá, somos um provedor não verificado pedindo que confie em nós, e reconhecemos que é uma limitação real. Leve o mesmo ceticismo a qualquer provedor que ainda não foi auditado.

Quando HTTPS sozinho é suficiente

Posição honesta: pra muitos usuários em muitas situações, HTTPS sozinho cobre o que realmente importa.

Se está em casa num provedor que confia, num país que não retém ou monetiza dados de provedor agressivamente, e não se importa muito com seu provedor saber os domínios que visita, HTTPS lida com o modelo de ameaça. A VPN adiciona privacidade que você pode não valorizar pessoalmente ao custo de dinheiro e um pequeno overhead de velocidade.

O caso honesto pra uma VPN é quando uma das seguintes é verdadeira:

Você está numa rede que não controla ou confia (hotel, cafeteria, aeroporto, conferência).
Seu provedor está numa jurisdição que retém ou vende dados de conexão.
Você tem um destino específico que não quer associar com seu IP real.
Quer acessar conteúdo que está geo-bloqueado da sua localização real.
Está num país que filtra ou bloqueia partes da internet.

Se nenhuma se aplica, HTTPS sozinho é razoável. Nosso post preciso de uma VPN percorre essa pergunta mais cuidadosamente.

Quando HTTPS mais VPN importa

Os dois juntos cobrem o que nenhum cobre sozinho:

HTTPS protege o conteúdo da página de todo mundo, incluindo o provedor de VPN.
A VPN protege os metadados sobre quais páginas você carrega do seu provedor.
HTTPS autentica que você está falando com o site real, não falso.
A VPN protege contra um atacante malicioso de rede local que de outra forma veria SNI, DNS, e forma de tráfego mesmo que não pudesse ler o conteúdo criptografado.

Usados juntos, o único observador significativo restante é o site de destino em si (que vê a requisição porque é a requisição) e o provedor de VPN (que vê os bytes criptografados-pro-destino fluindo pelo seu servidor mas não pode ler dentro da camada HTTPS).

Conclusões práticas

HTTPS é necessário, não suficiente, pra privacidade de rede.
Uma VPN não substitui HTTPS. Protegem coisas diferentes em camadas diferentes.
O enquadramento "tenho HTTPS, não preciso de VPN" assume que a única coisa que vale proteger é conteúdo de página. Metadado é sua própria preocupação de privacidade.
O enquadramento "VPN protege tudo" também é errado. Uma VPN move sua confiança pro provedor; não criptografa magicamente conteúdo que o destino teria visto de qualquer jeito.

Se quer uma posição mais profunda sobre o que um provedor pode realmente ver sem VPN, temos uma peça em o que seu provedor vê sem VPN. Pra o quadro de privacidade mais amplo, mitos de VPN desmascarados cobre os equívocos mais comuns num só lugar.

As duas tecnologias são camadas numa pilha, não competidores. Use ambos.