Hyper Text Transfer Protocol Secure ou simplesmente HTTPS, é uma versão altamente avançada e segura do HTTP. É o protocolo de aplicação através do qual toda a comunicação de dados na rede ocorre com segurança
Desde 2014a criptografia HTTPS tornou-se um dos fatores de classificação para o Google e Crómio tem marcado todos os sites HTTP como inseguros desde julho de 2018
Agora, outros motores, como Mozilla, Safari e até mesmo Microsoft Edge seguiram o exemplo. Isso implica que toda vez que o senhor acessa um site não-HTTPS através de um dos populares navegadores, recebe o aviso correspondente.
Essa é uma das principais razões pelas quais o senhor deve ler definitivamente este artigo para saber mais sobre o que é HTTPS e como mudar de HTTP para HTTPS.
Capítulo 1: O que é HTTPS?
O primeiro objetivo deste artigo é compreender melhor o conceito de HTTPS. Para tanto, abordaremos os seguintes pontos essenciais: 1
1.1) Qual é a história do protocolo HTTPS?
O protocolo HTTP é o protocolo básico de comunicação que os clientes e servidores devem implementar para assegurar a comunicação
Os trabalhos sobre o protocolo, bem como sobre a linguagem Hypertext Markup (HTML), começaram em 1989 por Sir Tim Berners-Lee e sua equipe no CERN.
Fonte fun-mooc
A primeira versão oficial do protocolo (HTTP 1.0) foi lançada em 1996, seguida em breve pela versão atualmente amplamente adotada (HTTP 1.1), em 1997.
O protocolo HTTP transfere informações entre o navegador e o servidor em texto claro, permitindo que a rede, pela qual as informações passam, veja os dados transmitidos
No entanto, há um problema com a segurança dos dados online. Foi aqui que o HTTPS foi introduzido, permitindo que o cliente e o servidor o fizessem:
- Primeiro estabeleça um canal de comunicação criptografado,
- Em seguida, passe mensagens HTTP em texto claro através dele,
- Depois, para protegê-los efetivamente contra as escutas.
O canal criptografado é criado usando o protocolo Transport Layer Security (TLS), anteriormente conhecido como Secure Socket Layer (SSL)
Assim, por volta de 1996 e 1997, obtivemos a versão estável atual da Internet HTTP 1.1, com ou sem SSL e TLS, que ainda hoje alimenta a maioria dos websites
Anteriormente, o HTTP era usado para tráfego não sensível, por exemplo, para a leitura das notícias. E o HTTPS foi usado para tráfego sensível, como : Autenticação e comércio eletrônico.
No entanto, maior atenção à privacidade significa que navegadores como o Google Chrome agora marcam sites HTTP como não-privados e introduzirão avisos para HTTP no futuro.
A próxima atualização do protocolo HTTP – HTTP/2, que está sendo adotado por um número crescente de websites, acrescenta novas características para reduzir a latência e aumentar o desempenho e a segurança.
No HTTP 1.1, a conexão segura é opcional. O senhor pode ter HTTP e/ou HTTPS independentes um do outro. Enquanto no HTTP/2 é praticamente obrigatório, embora o padrão defina HTTP/2 com ou sem TLS, a maioria dos navegadores afirmou que só implementarão suporte para HTTP/2 sobre TLS.
1.2 Como funciona o HTTPS?
Quando olhamos para HTTP e HTTPS, é importante notar que HTTPS usa um protocolo de criptografia que funciona na comunicação original para torná-la uma comunicação criptografada, isto é, segura.
O protocolo de Segurança da Camada de Transporte (TLS), protege as comunicações usando uma infra-estrutura de chave pública assimétrica, que é uma combinação de uma chave pública e uma chave privada.
A chave privada é administrada pelo proprietário do site e permanece privada como uma senha. Ela reside em um servidor web e seu papel é decifrar as informações que a chave da rede pública codificou.
A chave pública pode ser obtida por qualquer pessoa que deseje trocar dados com o servidor de uma maneira segura. Uma vez que a informação é criptografada pela chave pública, somente a chave privada pode ser usada para descriptografá-la.
Quando um usuário se conecta a uma página da Internet, a página envia ao usuário seu certificado de Secure Sockets Layer (SSL). Isso implica a presença da chave pública necessária para iniciar uma sessão segura
O cliente e o servidor, interagindo um com o outro, passam por um processo chamado aperto de mão SSL ou TLS
Isso consiste em várias comunicações que asseguram a segurança da conexão que agora liga o usuário ao servidor
Há três camadas chave de proteção que a camada de segurança de transporte (TLS) e a camada de segurança de soquetes (SSL) oferecem aos usuários:
- Criptografia
Como HTTP foi originalmente projetado para ser um protocolo transparente, isto é, não criptografado, é fácil para um mau ator escutar as conexões e fazer ataques de homem no meio (MITM).
Com criptografia SSL ou TLS, HTTPS pode impedir que os dados sejam interceptados por qualquer outra pessoa que não seja o cliente ou servidor.
Usando a encadernação SSL / TLS e a chave pública, a comunicação que ocorre em uma sessão criptografada pode ser estabelecida entre o cliente e o servidor usando uma chave secreta.
- Autenticação
O certificado SSL ou TLS de um website tem uma chave pública, que é usada pelo navegador para assegurar que o que é enviado do servidor tenha uma assinatura digital com a chave privada apropriada
Uma vez que o certificado for assinado por uma pessoa autorizada a autorizar a certificação de um servidor, o navegador assumirá que as credenciais rastreadas nesse certificado são, sem dúvida, validadas.
- Integridade dos dados
Quando o senhor envia um documento a um navegador usando um servidor HTTPS, ele tem uma assinatura digital que o navegador usa para indicar se ele foi alterado por terceiros ou corrompido de alguma outra maneira
O servidor gera um hash criptográfico do conteúdo do documento. Isso está incluído no certificado digital. O navegador pode então resolver esse hash, o que prova que o documento é autêntico e inalterado.
1.como HTTP e HTTPS são diferentes?
HTTP e HTTPS ajudam os usuários da web a transferir e receber informações pela Internet. A diferença mais notável entre esses dois protocolos é o uso de TLS ou SSL pelo protocolo HTTPS.
Entretanto, o HTTPS, com sua transferência segura de informações, é particularmente importante para sites que lidam freqüentemente com informações sensíveis
Estes incluem principalmente sites de comércio eletrônico onde os usuários enviam informações de pagamento, tais como
- Endereços para faturamento,
- Números de telefone,
- Dados do cartão de crédito,
- Etc,
HTTPS trabalha com TLS ou Secure Sockets Layer SSL para encriptar dados sensíveis, prevenir corrupção ou alteração de dados durante a transferência, e autenticar certos usuários para se comunicar com o website.
Essencialmente, HTTPS proporciona segurança ao gerar chaves de sessão de curto prazo para transferências de dados entre um usuário e o servidor do site.
Podemos resumir a diferença da seguinte maneira:
1.4. Quais são os benefícios de SEO do HTTPS?
Além de proporcionar uma experiência on-line segura para os visitantes do site, a adoção do HTTPS tem vários benefícios de SEO:
1.4.1. Aumente sua classificação
O Google recomenda agora que todos os websites usem conexões HTTPS em oposição ao HTTP padrão. Em 2014o gigante dos motores de busca anunciou que seu algoritmo agora consideraria o HTTPS como um sinal positivo de classificação.
No entanto, como a maioria dos sinais de classificação, é provável que a influência do HTTPS, por si só, permaneça bastante pequena
É importante considerar coletivamente todos os sinais de classificação, a fim de melhorar significativamente a classificação.
1.4.2. Melhoria da precisão dos dados de referência
Quando o senhor muda de HTTPS para HTTP, perde automaticamente seus dados de base que mais tarde encontrará em seu relatório analítico como tráfego direto. Isso é problemático na medida em que deixa o senhor com dados de tráfego imprecisos.
Com o cenário oposto, se o site original é seguro ou não, a informação de referência é retida e aparecerá na Analytics com exatidão.
1.5. Quais são os desafios do HTTPS?
Para todos os benefícios da mudança para o HTTPS, é também importante considerar as implicações potenciais envolvidas:
- Velocidade de carregamento da página
Como o HTTPS exige mais comunicação entre os servidores, a velocidade de carregamento das páginas pode ser diminuída
Isso não só é um problema para a experiência do usuário, mas a velocidade de carregamento da página é na verdade um fator de classificação do Google.
No entanto, há várias coisas que sua agência de SEO pode fazer para reduzir a velocidade de carregamento de páginas a fim de mitigar os efeitos.
- Flutuações de classificação durante a migração do local
O Google trata uma migração de HTTP para HTTPS como um movimento de site com uma mudança de URL
Como resultado, o senhor pode experimentar flutuações nas classificações enquanto o Google reexplora e re-indexa o site.
1.6. Tipos de certificados HTTPS
Há vários tipos de certificados HTTPS que classificaremos da seguinte maneira
1.6.1. De acordo com a validação da identidade
Domínio validado DV este é o tipo de certificado mais comum. Um certificado DV verifica que o domínio corresponde a uma chave pública específica. Uma conexão altamente segura é estabelecida entre o navegador. Isso é simbolizado por um cadeado fechado em seu navegador
Quando o senhor clicar no sinal para ver uma mensagem como “Este website não fornece informações sobre a propriedade” será apresentada. Um certificado DV simplesmente garante que ele é a chave pública correta para esse domínio.
EV certificados de validação estendidos certificados: Eles verificam a organização jurídica por trás de um website. Este é o tipo de certificado mais confiável, obtido após uma autoridade certificadora ter verificado a entidade legal que controla o domínio
A entidade legal é verificada com uma combinação de :
- Controle de domínio como certificado DV,
- Registros comerciais do Governo, para assegurar que a companhia esteja registrada e ativa.
Organização Validada (OV) como EV, os certificados OV verificam a organização legal por trás de um website. No entanto, ao contrário dos EV, os certificados HTTPS OV não exibem o nome legal verificado na interface do usuário
Como resultado, os certificados OV são menos populares, pois têm altas exigências de validação, sem benefícios suficientes para os usuários
1.6.2. De acordo com o número de domínios cobertos
No passado, os certificados HTTPS geralmente continham um único domínio no campo CN. Mais tarde, o campo “nome de assunto alternativo” (ASN) foi acrescentado para permitir que domínios adicionais fossem cobertos por um único certificado
Hoje em dia, todos os certificados HTTPS são elaborados da mesma maneira. Até mesmo um certificado de domínio único terá uma SAN para esse domínio único e uma segunda SAN para a versão wwwversion desse domínio
No entanto, muitos provedores de certificados ainda vendem certificados HTTPS de um e vários domínios por razões históricas.
Domínio único este é o tipo de certificado mais comum, válido por exemplo.com e www.example.com.
Múltiplos domínios (UCC / SAN) domínio Múltiplo (UCC / SAN): Esse tipo de certificado, também conhecido como Certificado de Comunicações Unificadas (UCC) ou Certificado de Nomes Alternativos Sujeitos (SAN), pode cobrir uma lista de domínios até um certo limite
É aconselhável usá-lo com websites relacionados, pois o cliente que inspeciona o certificado de um dos websites verá o domínio principal, bem como todos os outros.
Capítulo 2: Dicas para mudar de HTTP para HTTPS?
A mudança do HTTP para HTTPS pode parecer um pouco complexa, portanto sugiro que o senhor siga os 5 passos abaixo:
Passo 1. Escolha um certificado SSL
Para que seu website possa estabelecer uma conexão criptografada, o senhor deve primeiro obter um certificado TLS, mais conhecido como um certificado SSL
O fato é que depois de uma grande atualização, o certificado foi renomeado para TLS, mas o antigo nome permaneceu. O certificado é um pequeno arquivo que contém uma chave de criptografia e informações verificadas sobre o proprietário do website
Dependendo da quantidade de dados que o senhor fornecer sobre a pessoa ou companhia que possui um website, o senhor poderá obter um dos três tipos de certificados.
Passo 2: Obter e instalar um certificado SSL
Opção 1: Comprar de seu provedor de hospedagem
Uma vez que o senhor tenha decidido que tipo de certificado SSL precisa, verifique o que seu provedor de hospedagem tem a oferecer. Se o preço for razoável, essa seria sua melhor escolha, pois o senhor conseguirá fazer as coisas mais rápida e facilmente
O procedimento padrão para a obtenção e instalação de um certificado SSL é o seguinte
- O senhor escolhe o tipo de certificado que melhor lhe convier,
- O senhor gera uma chave privada de cifragem e um Pedido de Assinatura de Certificado (CSR) de seu provedor de hospedagem,
- O senhor pede um certificado SSL ao fornecedor selecionado. Neste momento, o senhor precisará carregar o arquivo de RSE que gerou anteriormente,
- Uma vez enviado o pedido de assinatura do certificado, o senhor terá que passar pelo processo de verificação, que variará conforme o tipo de certificado (DV, OV, EV),
- Uma vez que a validação esteja completa, o senhor poderá baixar seu certificado SSL do website de seu provedor e fazer o upload do mesmo para seu servidor de hospedagem.
Como o senhor pode ver, as coisas se complicam um pouco, pois é preciso obter arquivos de um provedor de hospedagem e depois carregá-los para um provedor de certificados SSL, e vice-versa
Se o senhor comprar um certificado SSL diretamente de seu serviço de hospedagem, não haverá necessidade de tais trocas de arquivos e o senhor deverá poder riscar algumas coisas da lista.
Em todo caso, contate sua companhia anfitriã para saber como eles podem ajudar o senhor a mudar para o HTTPS. Verifique também se seu plano de hospedagem inclui, por acaso, um certificado SSL gratuito. Alguns provedores oferecem tal benefício
Opção 2: Comprar da Autoridade Certificadora ou de uma loja especializada
Se por algum motivo o senhor não conseguir obter um certificado SSL de seu provedor de hospedagem, há uma opção de comprar um diretamente de uma companhia que emite tais certificados (Comodo, Symantec, Geotrust).
Opção 3: Obtê-lo de graça
Graças ao Vamos Encriptarhá também a opção de obter um certificado SSL absolutamente gratuito
Os certificados que emitem funcionam da mesma maneira que os certificados pagos com uma diferença: são válidos apenas por três meses, enquanto os certificados SSL normais têm a duração de um ano
Portanto, o senhor terá que renovar constantemente seu certificado do Let’s Encrypt. Além disso, eles só fornecem certificação DV
Após a instalação do SSL, o senhor terá que se certificar de que ele funcione corretamente. O senhor pode usar Teste do servidor SSL para esse fim
Ele verificará se o certificado é válido, qual protocolo de criptografia é usado, a força da criptografia e calculará a pontuação geral do website do senhor. A pontuação mais alta possível é A+, e se o senhor conseguir uma pontuação mais baixa, o serviço lhe mostrará o motivo.
Passo 3: Força usando HTTPS
Uma vez que seu certificado SSL tenha sido instalado com sucesso, seu website se tornará acessível via HTTP e HTTPS. O problema surge com os motores de busca, pois são dois sites separados que podem competir no SERP
Para facilitar o acesso a seu site através do HTTPS, o senhor precisará estabelecer um redirecionamento.
Com o tempo, como as páginas HTTPS de seu website são indexadas, a versão HTTP delas desaparecerá dos SERPs e o sumo do link mudará para a versão HTTPS de seu website
Agora, há uma coisa que o senhor precisa fazer antes de estabelecer qualquer redirecionamento: Substituir todos os URLs absolutos de seu site por URLs relativos
E 3.1 Implementação de URLs relativas
Primeiro, vamos definir o que são URLs relativos e absolutos
Um URL absoluto contém o endereço completo de uma página, inclusive o protocolo de conexão e o nome de domínio. A maioria dos URLs que o senhor vê na Internet são absolutos, por exemplo https://twaino.com/blog/
As URLs relativas, por outro lado, são usadas para links internos. Eles não especificam o protocolo de conexão e podem ou não conter o nome do domínio, por exemplo Twaino.com/blog/ ou simplesmente / blog
Se um website usa links relativos, o próprio navegador acrescenta o protocolo e o nome de domínio que falta ao endereço da página da Internet
Assume que um link relativo ao HTTPS em uma página da web deve apontar para outra página do mesmo site que também funciona no HTTPS
O senhor precisará substituir todos os vínculos absolutos a seguir por vínculos relativos: Links internos, caminhos para a folha de estilo, roteiros, imagens, vídeo
Caso contrário, o senhor notará conteúdo duplicado em seu site. Isso ocorre quando alguns elementos de página são carregados através da conexão segura HTTPS e outros através do inseguro protocolo HTTP.
Essas páginas da web são vulneráveis a ataques de homem no meio porque os elementos que carregam via HTTP permitem que os hackers assumam o controle de toda a página
Naturalmente, os navegadores marcam páginas com conteúdo duplicado como inseguras. O senhor precisa estar muito seguro de que todos os recursos de seu website são carregados via HTTPS
Assim o senhor pode passar horas fixando links internos e reescrevendo caminhos de arquivos para imagens, vídeos, roteiros, etc., depois de permitir o redirecionamento.
E 3.2. Criação do 301 redirecionamentos
Para redirecionar usuários e pesquisar bots para seu site HTTPS, use o redirecionamento do lado do servidor 301. Ele diz aos navegadores que a página é permanentemente encaminhada para um endereço diferente do antigo
A configuração muitas vezes não é a mesma para diferentes tipos de servidores web. Se seu site estiver hospedado em um servidor com Apache, é ainda mais fácil acrescentar uma certa linha de código ao seu arquivo .htaccess
O senhor pode encontrar o arquivo na pasta raiz de seu site, mas tenha em mente que ele pode estar escondido. Nesse caso, o senhor terá que ir aos ajustes no painel administrativo e marcar a caixa “Mostrar arquivo oculto”
Certifique-se de copiar o arquivo antes de editá-lo, para que o senhor tenha uma cópia de segurança em caso de problemas. Se o senhor não localizou o arquivo, isso significa que seu website não tem um e o senhor mesmo terá que criá-lo usando um editor de texto padrão.
Passo 4: Atualize seu Console de Busca
Mesmo depois de ter feito o redirecionamento, suas páginas HTTP continuarão a ser classificadas no Google. Para que sejam substituídas pelas versões HTTPS, estas últimas devem ser rastreadas e indexadas
O senhor pode acelerar o processo importando uma versão atualizada de seu mapa do site XML para o Console de Busca do Google. Antes de fazer isso, o senhor talvez precise acrescentar seu site HTTPS ao GSC
O fato é que, em fevereiro de 2019, o Google lançado Propriedades de domínio para permitir que os webmasters analisem os dados de domínio
A propriedade do domínio é um URL sem protocolo (HTTP / HTTPS), prefixo www ou outros subdomínios (suporte, ajuda, etc.)
Portanto, se acrescentar seu site.com ao GSC, o senhor receberá dados combinados sobre diferentes versões de seu site, incluindo
- seu site.com,
- www.yoursite.com,
- m.yoursite.com,
- www.m.yoursite.com,
- ajuda. seu site.com,
- seu site.com.es
E dezenas de outras variantes possíveis com ambos os protocolos HTTP e HTTPS. A única maneira de criar uma propriedade de domínio é passar pela verificação dos registros DNS
Agora, se o senhor tiver estabelecido uma propriedade de domínio em seu SGC, ele começará automaticamente a coletar dados sobre URLs HTTPS
Mas se seu website tiver um prefixo URL, o senhor precisará acrescentar manualmente a variante HTTPS de seu website
Mais uma vez, o senhor tem a opção de adicioná-la como propriedade de prefixo URL ou verificar sua propriedade via DNS e criar uma propriedade de domínio para ver os dados agregados.
Passo 5: Encontrar e corrigir erros
Como implementamos URLs relativas no website antes de forçar o HTTPS, não devem ocorrer erros técnicos críticos após os redirecionamentos serem configurados. No entanto, seria uma boa prática realizar uma auditoria no website e certificar-se de que tudo está funcionando corretamente
Preste atenção às seguintes questões
- As páginas existentes devem devolver o código de status 200, inexistente 404,
- As páginas HTTPS não devem ser bloqueadas por um arquivo robots.txt ou por uma meta tag noindex. Caso contrário, o Google não poderá rastejá-los e indexá-los,
- A rel = canônica e rel = alternada, assim como o atributo hreflang, devem apontar para páginas HTTPS,
- As páginas não devem retornar erros de conteúdo mistos, o que significa que cada elemento de página deve ser carregado por meio do protocolo HTTPS.
O senhor pode detectar facilmente todos esses problemas, precisa fazer uma auditoria completa do seu website.
Conclusão
Mudar para o HTTPS pode parecer uma tarefa muito assustadora. Mas o senhor deve se lembrar que sua classificação e seu tráfego estão em jogo
O senhor não pode se dar ao luxo de ficar com o HTTP, pois comprometerá a segurança de seus usuários e perderá a confiança deles
Para evitar tudo isso, usamos nossos conhecimentos para lhe trazer tudo o que o senhor precisa saber sobre o HTTPS