A maioria das pessoas sabe ou suspeita que seja imprudente usar uma conexão pública de internet, mas elas nem sempre sabem por quê. Muitos sites não oferecem a segurança necessária a seus visitantes, o que pode causar vários transtornos, que poderiam ser evitados através de adaptações para uma página HTTPS. Veja por que todo site deve se preocupar e converter para HTTPS.
Fonte: Freepik.
Vamos supor que um usuário está em seu café favorito navegando num site de e-commerce e decide fazer uma compra. Não há nada para impedir que alguém mal-intencionado se insira no meio da transação. Essa pessoa pode roubar e, possivelmente, alterar os dados que são transmitidos. Se o usuário fizer uma compra, pode até ter sua identidade roubada, colocando até o próprio site em risco.
HTTP (sem o “s”) significa Hyper Text Transfer Protocol, que é o formato padrão e acordado para a transmissão de dados entre dois dispositivos na Internet. Assim como o idioma padrão da aviação é o inglês, o idioma padrão dos computadores é o HTTP.
HTTPS, por outro lado, significa Hyper Text Transfer Protocol Secure. É uma maneira de ajudar a proteger as conversas entre dois computadores, colocando um certificado de segurança e uma criptografia em cima, evitando assim roubos de dados, sejam eles sigilosos ou não.
Quando nos conectamos em um site seguro (HTTPS), seu navegador solicita e o site envia uma transação de segurança verificada ao mesmo tempo que certifica que o servidor web que você está se conectando de fato pertence a uma determinada empresa, pessoa, marca, loja, etc.
O site também envia uma chave de criptografia para o navegador do seu computador para bloquear qualquer pessoa que tente interferir nesta conexão. Apenas o site tem a chave de descriptografia e mesmo que uma pessoa má intencionada intercepte sua conexão, não será capaz de alterar, excluir ou fazer qualquer mudança nas conversas, pois ambas as partes estão protegidas.
O HTTPS fornece segurança adicional, mas não proteção total, tendo em vista que já há pessoas buscando por muitas maneiras de interferir neste processo de certificação. Mas apesar de ele não ser perfeito, é um passo adicional na direção certa no sentido de fornecer mais segurança na internet, e provavelmente vai melhorar ainda mais com o passar do tempo.
Por que converter agora?
O HTTPS existe desde 1994. Mas por que esse súbito impulso de todos em converter? O que acontece é que, preocupado com o fato de que os usuários não estão reconhecendo ou atendendo a rotulagem neutra e ambígua de sites não seguros, em setembro de 2016, o Google anunciou que, a partir de janeiro de 2017, começaria explicitamente a rotular todas as conexões HTTP como não seguras.
O Chrome não rotulava explicitamente as conexões HTTP como não seguras, mas desde janeiro de 2017 (com a atualização Chrome 56), as páginas HTTP passaram a ser marcadas como não seguras. Isso faz parte de um plano de longo prazo do Google para marcar todos os sites HTTP como não protegido.
Nas próximas versões, o Google pretende estender os avisos HTTP, rotulando as páginas HTTP como “não protegidas” até no modo de navegação anônima, onde os usuários podem ter expectativas mais altas de privacidade. Eventualmente, as páginas HTTP serão marcadas como não seguras utilizando o triângulo vermelho, já usado para usamos para HTTPS quebrado.
Até agora, o rótulo explicito de “não seguro” ainda não apareceu, somente a já conhecida letra circundada em cinza “i” exibida na barra de endereços do navegador que indica que os sites não são seguros. No entanto, o Google ampliou a rotulagem de sites seguros, incluindo um cadeado verde, a palavra “Seguro” e as letras verdes HTTPS em todos os sites que foram completamente convertidos.
Se você possui um site que captura identificações de usuário e senhas ou dados de cartão de crédito, em breve você será rotulado como não seguro para os visitantes que acessarem suas páginas usando o navegador Chrome. Isto pode fazer as pessoas desistirem de realizar compras com você, especialmente se você pede qualquer tipo de dado pessoal para construir sua lista de contatos.
Os visitantes do site poderão facilmente reconhecer sites que não fornecem segurança e buscar por alternativas melhores e mais seguras. E se você possui um site informativo e que não vende nada, não pense que não será atingido.
Proprietários de sites não comerciais também correm o risco de perder a confiança dos visitantes. 25% dos sites do mundo são construídos em WordPress, um sistema de gerenciamento de conteúdo que é acessado, administrado e mantido usando um userID e senha. Seus principais concorrentes também usam userIDs e senhas o que fará com que todos, eventualmente, sejam sinalizados como não seguros.
Como proprietário de um site, você também deve estar ciente de que qualquer pessoa que intercepte a transmissão de dados de identidade de usuário e senha será capaz de adicionar, alterar e excluir conteúdo em seu site. Não são apenas os visitantes que estão em risco, pois os proprietários do site também precisam proteger seus dados.
Além do benefício óbvio de proteger a confiança de seu público, há também um benefício para a otimização para mecanismos de busca (SEO) quando você migra para HTTPS. O Google anunciou que o HTTPS é um fator de classificação desde agosto de 2014.
Na época, o pouco incentivo não foi suficiente para motivar a maioria dos proprietários de sites não comerciais a migrar por causa do trabalho envolvido e do potencial de perda para o trabalho de SEO já realizado.
Quando você converte seu site em HTTPS, você está efetivamente mudando seu endereço na internet, e isso significa que você deve enviar aos mecanismos de pesquisa uma notificação de mudança de endereço (conhecida como redirecionamento 301 ou 302). Tradicionalmente, um redirecionamento pode prejudicar o SEO ou a capacidade de classificação, mas isso mudou.
Em fevereiro de 2016, John Mueller, analista de tendências do Google, anunciou que um redirecionamento 301 ou 302, desde que usado em conjunto com uma migração HTTP para HTTPS, não causarias mais perdas para o SEO nem de classificação no Google.
Em julho de 2016, outro funcionário do Google, Gary Illyes, também analista de tendências, comentou a mesma coisa e Barry Schwartz, do Search Engine Land, confirmou as informações.
Não há mais uma penalidade ao implementar o HTTPS. Agora essa mudança pode realmente ajudar a aumentar a sua classificação no mecanismo de busca e os visitantes do seu site podem se sentir mais seguros sabendo que seus dados estão protegidos.