O que é HTTPS Everywhere?
O HTTPS Everywhere é uma medida de segurança recomendada para sites que protege toda a experiência do usuário contra ameaças online. O termo se refere ao uso do HTTPS, o protocolo seguro da Web habilitado pela criptografia TLS/SSL, em todo o seu site, em vez de só em algumas páginas. Com ele, cada página do site é protegido por TLS/SSL e não é exibida como “não segura” nos navegadores.
O HTTPS possibilita a autenticação da identidade, da conexão e da integridade de dados do site e criptografa todas as informações compartilhadas entre o site e um usuário (incluindo qualquer cookie trocado), protegendo os dados contra visualizações não autorizadas, manipulação ou uso indevido. Manter uma conexão segura em toda uma sessão de navegação é vital para garantir que os usuários estejam protegidos de ataques avançados de spoofing, inserção de código malicioso e man-in-the-middle.
Navegadores e a pressão para usar o HTTPS
Não é mais aceitável proteger apenas parte das conexões de seus usuários. Quando você usa o HTTPS no seu site esporadicamente, somente algumas páginas são protegidas pela criptografia e pela segurança do TLS/SSL, enquanto outras estão expostas a roubo de dados, modificação ou inserção de conteúdo e invasão de privacidade por meio de vigilância na Internet. A implantação intermitente do TLS/SSL não atende às expectativas e direitos de segurança do usuário nem às dos navegadores e das plataformas de sistema operacional.
Como parte de uma iniciativa de vários anos para encorajar a adesão ao HTTPS Everywhere, grandes navegadores, incluindo Google, Mozilla e Apple, usaram rótulos de aviso em todos os sites que só usavam HTTP para desencorajar o uso dele e reforçar a adoção do HTTPS.
Por que é importante proteger seu site com o HTTPS Everywhere
A confiança é a base da economia da Internet. Para conquistar essa confiança, você precisa de criptografia de ponta a ponta para proteger cada página da Web que seus usuários acessam, e não só páginas de login e carrinho de compras. Novas mudanças nos padrões da Internet e nos navegadores também estão ajudando os sites que usam HTTPS e estão punindo sites desprotegidos que permanecem com o HTTP. Por exemplo, desde 2014, o Google impulsiona a classificação nos resultados de busca de páginas com HTTPS. Ele também já exibiu o rótulo de conexão segura na barra de endereços de páginas com HTTPS. E, em julho de 2018, o Google Chrome começou a mostrar rótulos de aviso em todas as páginas que só tivessem HTTP.
O Chrome foi o primeiro grande navegador a avisar os usuários sobre as páginas HTTP. Depois, outros navegadores seguiram o mesmo caminho à medida que a Internet se encaminhou para uma atitude de "segurança por padrão". Além disso, várias novas tecnologias da Web e recursos de navegadores exigem HTTPS. Isso inclui o HTTP/2, uma melhoria fundamental para o protocolo de comunicação da Web que pode aprimorar, e muito, o desempenho de sites, bem como recursos dos navegadores, como geolocalização, notificações, trabalhos de serviço, o padrão AMP do Google para dispositivos móveis, novos métodos de compressão, entre outros. Resumindo, sem o HTTPS, seu site ficará obsoleto.
Três ótimas dicas para aderir ao HTTPS Everywhere
- Certifique-se de que os serviços de terceiros que você talvez use, como serviços de publicidade ou análise executados no seu site, estejam disponíveis em HTTPS. Assim, você evitará problemas de "conteúdo misto".
- Compre certificados TLS/SSL extras se diferentes partes do seu site forem executadas em diferentes servidores ou domínios.
- Redirecione todas as suas páginas da Web para as respectivas contrapartes HTTPS e atualize seu Google Webmaster Tools. Ao implementar o HTTPS Everywhere, haverá implicações de SEO. O Google e outros mecanismos de busca interpretam isso como o uso de um novo site, de modo similar à adoção de um novo nome de domínio.