HTTPS, Google Chrome e o seu site

/em

Bem-vindo a 2017, o ano da Internet mais segura. Você ainda não utiliza SSL para que seu site seja acessado via HTTPS? É muito provável que isto mude neste ano.

HTTPS & SSL

O “https” que é exibido na barra de endereços do navegador demonstra que o site possui um certificado SSL instalado. SSL é a abreviação para Secure Sockets Layer. É um protocolo de comunicação que cria um canal criptografado entre o servidor e o navegador, para garantir o sigilo e a segurança dos dados transmitidos. É comumente utilizado para tornar mais seguros os pagamentos online e a autenticação de dados em áreas com acesso restrito. Os usuários de um website reconhecem a segurança quando visualizam o “cadeado fechado” na barra de endereço do site.

Por que usar SSL se tornou praticamente obrigatório?

Tudo começou em 2014, quando o Google anunciou que o uso de SSL seria considerado um fator importante no posicionamento de um site nas páginas de resultados de buscas (SERPs). Este foi oficialmente o início do movimento por uma internet mais segura.

Em seguida, em Setembro de 2016, o Google fez um novo anúncio, estabelecendo Janeiro de 2017 como o mês em que todo e qualquer formulário que solicite senha, ou cartão de crédito, deve obrigatoriamente utilizar HTTPS, ou será exibido como inseguro no Chrome.

HTTPS not secure

 

Por que isso é importante?

Bem, no Brasil o Chrome é “um pouco” mais utilizado do que os demais navegadores (fonte StatCounter):

chome mkt share BR

 

Ou seja, se você tem um formulário para alguma área logada em seu site e não utiliza HTTPS, 3 de cada 4 visitantes estão recebendo um aviso de “não seguro”.

E o Google irá além, conforme o anúncio de Setembro de 2016 eles pretendem exibir como “inseguro” no Chrome todos os sites que não utilizarem HTTPS em todo o site!

site sem HTTPS

 

Apesar de ainda não haverem divulgado a data para esta última mudança, melhor prevenir do que remediar, certo?

 

Como adquirir um certificado SSL?

 

Existem duas opções, o certificado tradicional e pago, ou o certificado gratuito. O certificado pago pode ser adquirido através de diferentes entidades certificadoras tradicionais. A alternativa mais econômica e simples é  o certificado gratuito da Let’s Encrypt.

A Let’s Encrypt foi fundada em Abril de 2016, justamente com o objetivo de ajudar a tornar a internet mais segura. Seu certificado gratuito pode ser obtido rapidamente e renovado automaticamente, para utilização em qualquer website. Além disso, o certificado da Let’s Encrypt não necessita de um endereço IP dedicado para sua instalação, neste caso dependendo de ter a extensão SNI habilitada no servidor web em questão.

Ainda existem algumas limitações, comparado a outras certificadores, como a não possibilidade de emissão de certificados Wildcard e nem do tipo EV (Extended Validation SSL), que mostra a barra verde completa no navegador com informações específicas da empresa.
Apesar disso, atende muito bem aos requisitos de segurança para tornar o site mais seguro e ainda impacta positivamente o SEO.
Agora você não tem mais motivos para deixar de usar o HTTPS em seu site, está esperando o quê?