Por que e quando usar o HTTPS (SSL/TLS)?

O principal objetivo do protocolo é proteger as informações que trafegam pela rede e garantir a integridade dos dados

Segurança na Internet

O protocolo HTTPS é uma junção dos protocolos HTTP e TLS/SSL utilizada em larga escala na internet, Seu principal objetivo é de proteger as informações trafegadas pela rede, impossibilitando a leitura dos dados através de ataques que possam interceptar a conexão do usuário, como o Man-in-the-middle

Nos dias atuais, é muito comum encontrar sites utilizando o protocolo, pois é essencial em qualquer página que envolva transações e dados sigilosos. Sem este protocolo, informações como dados de cartões de créditos trafegariam como texto puro por toda internet, e qualquer um que pudesse interceptar esta conexão teria acesso aos dados.

Porém a escolha de utilizar ou não o protocolo não parte do ponto de vista do usuário, pois quem decide quais páginas serão acessíveis por meios seguros ou não, são os administradores do site.  

Apesar do protocolo HTTPS reforçar a segurança dos sites acessados criptografando as informações trafegadas, não há qualquer problema em acessar sites que não utilizam do protocolo, desde que estes não possuam qualquer tráfego de informações importantes, como um e-commerce, por exemplo.

Entretanto alguns especialistas clamam que o uso do HTTPS deve ser obrigatório, como descreve a gigante de Montain View. Desde 2014 o Google reforça que sites que utilizam do protocolo recebem um "bônus" na indexação de suas pesquisas, ainda que inferior ao peso da qualidade do conteúdo do site, só o fato de implementar o protocolo já lhe garantirá algumas posições a mais no ranking de pesquisa, que podem ter um peso ainda maior no futuro.

Você sempre deve proteger todos os sites com HTTPS, mesmo que eles não lidem com comunicações sigilosas. Além de fornecer segurança e integridade de dados fundamentais para o seu site e as informações pessoais dos seus usuários, o HTTPS é uma exigência de muitos recursos dos novos navegadores, especialmente dos necessários para os aplicativos web progressivos.

Kayce Basques

A medida fez com que diversos sites migrassem para o novo protocolo como se fosse algo urgente, o que causou alguns problemas momentâneos devido a redirecionamentos incorretos, Muitos sites perderam posições no Google, permaneceram inacessíveis ou cortaram o suporte para sistemas obsoletos como o Windows XP.

Vantagens de desvantagens do HTTPS

De fato há inúmeras vantagens para se utilizar o HTTPS, quando implementado corretamente:

  • Informações interceptadas não podem ser lidas;
  • Modificações realizadas por um interceptador são detectadas pelo navegador;
  • Maior confiabilidade e taxas de conversões de anunciantes devido ao aviso de "seguro" exibido pelos navegadores.

Apesar da segurança, algumas desvantagens devem ser consideradas:

  • A primeira requisição ao site será de 100 a 500 milissegundos mais lenta devido aos processos do handshake envolvidos no HTTPS.
  • É necessário um certificado emitido para o site e uma maior complexidade para sua instalação.
  • Criptogramas mais modernos não são suportados por sistemas obsoletos como o Windows XP e o Android 2.3.
  • Pode gerar resultados duplicados no Google e gerar penalizações para o site caso não sejam implementados redirecionamentos 301.
  • Certificados expirados deixarão o site inacessível para todos os usuários.

Muitos destes problemas só irão ocorrer se a implementação do HTTPS tiver falhas. Os administradores de sites jamais serão penalizados pela troca de protocolo caso tudo tenha ocorrido como planejado, mesmo que o Google reconheça como uma troca de site, a flutuação de posições pode ocorrer durante a transição, porém nenhuma penalização será aplicada caso tenha feito tudo corretamente.

Recomendações para migração

Com o impacto no SEO ganhando um peso cada vez maior, não resta nenhuma escolha a não ser utilizar o HTTPS em todo o conteúdo, ainda que não seja necessário, é o que o Google recomenda fazer.

Porém para que sua migração possa ser realizada com sucesso sem maiores problemas, é necessário seguir algumas recomendações.

Adicione todas as versões de seu site no Google Search Console

Você deve conter todas as 4 versões de seu site adicionados e verificados no Search Console do Google, estas versões incluem os protocolos HTTP e HTTPS de seu site, com e sem o "www". 

  • http://tecdicas.com
  • http://www.tecdicas.com
  • https://tecdicas.com
  • https://www.tecdicas.com

Desta forma é possível monitorar qualquer problema possível que possa ocorrer em um destes endereços. Adicionar as propriedades ao Search Console não significa que você deverá manter todos esses endereços acessíveis, muito pelo contrário. Certifique-se de que apenas um destes endereços possa estar acessível e que todos os outros redirecionem para o principal usando o cabeçalho de resposta HTTP 301.

Redirecione todas as solicitações para HTTPS com a resposta 301

Com todos os sites apontando somente para um (preferencialmente para a versão HTTPS, com ou sem www) e usando a resposta HTTP 301, o Google não irá gerar duplicatas de seu site, e somente um endereço será indexado nas pesquisas. Portanto nunca redirecione seus visitantes por JavaScript, sempre faça isso por respostas HTTP 301 do lado do servidor.

Para servidores Apache2, pode ser realizado com o código abaixo inserido no .htaccess de seu site.

RewriteEngine On

# redireciona para www (https) caso ausente
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L]

# redireciona http para https
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Desta forma o Google irá entender a mudança de endereço e não irá indexar duas vezes sua URL.

Utilize a tag de URL canônica mesmo que não mantenha duas versões do site

Independente de seu site possuir uma versão HTTP e HTTPS separadas, utilize sempre a tag de URL canônica apontando para apenas um site em ambos. Esta tag indicará que as duas páginas são as mesmas, mesmo utilizando HTTP e HTTPS, fazendo com o que o Google só realize a indexação da página que foi referenciada.

Veja um exemplo da tag URL canônica.

<link rel="canonical" href="https://www.tecdicas.com/3/analise-de-vulnerabilidades-em-sistemas-web-com-php"/>

Vale lembrar que seu gerenciador de conteúdo deve possuir um recurso para gerar esta URL em cada página correspondente. Nunca utilize uma URL canônica referente a outra página com conteúdo diferente.

Teste seu certificado SSL

É muito importante testar se o seu certificado está funcionando de acordo com o esperado, para isso existe o site SSL Labs, onde poderá testar seu certificado e verificar sua segurança.

O site pode detectar problemas que poderão causar vulnerabilidades e descrever potenciais falhas em sua implementação.

HTTPS não previne seu site de ser invadido

Ao implementar HTTPS em seu site você estará oferecendo mais segurança para os visitantes de seu site ao criptografar sua comunicação, porém não adianta implementar o protocolo e manter seu site vulnerável a injeções de SQL, XSS, dentre outras vulnerabilidades que afetam sistemas web

Invista sempre em segurança, faça testes de vulnerabilidades e mantenha seu servidor sempre seguro e atualizado, desta forma estará evitando inúmeros ataques virtuais que podem prejudicar o seu site, independente do tamanho que ele seja.

Conclusão

Para o Google, o conteúdo sempre terá maior relevância do que a implementação de um protocolo de segurança, porém isto pode ajudar que seu site tenha um ranking melhor nos buscadores devido suas exigências que estão sendo cada vez mais rígidas.

O impacto causado por uma migração quando realizado de forma correta é mínimo, espere uma leve flutuação nos resultados das pesquisas durante o período de transição e logo tudo será normalizado. No entanto, realizar o processo de forma incorreta poderá gerar punições dos motores de pesquisa sobre seu site.


Comentários



Voltar ao topo
Aguarde..