Erros comuns de Implementação de HTTPS: Pesquisa da Semrush

Maria Chizhikova Marques

Mai 23, 20178 min de leitura
Erros comuns de Implementação de HTTPS: Pesquisa da Semrush

Migrar seu site para HTTPS não é só para empresas grandes e para melhorar seu SEO - é um passo obrigatório para todos os tipos de negócios e sites. 

Qual é a diferença entre http e https?

O HTTP é o protocolo padrão para a Internet e o HTTPS é quando se adiciona ao HTTP uma camada de segurança adicional: o certificado SSL. Este certificado permite que os dados sejam transmitidos através de uma ligação criptografada e que se possa verificar a autenticidade do servidor e do cliente.

De acordo com as estatísticas de Firefox, o volume de tráfego encriptado não para de crescer. No dia 29 de Janeiro de 2017 50% de todo o tráfego online estava seguro.

Se seu site ainda está no “lado escuro” deveria reavaliar a sua posição. Pense que a implementação de protocolo HTTPS é um de fatores de rankeamento, um sinal de confiança que aumente a sua credibilidade nos olhos de seus usuários, e é uma forma garantida de proteger os dados do seu site de certos tipos de ataques.

Hoje vamos falar de erros que podem acontecer na implementação de HTTPS e como evitá-los. Assim que se você já migrou seu site ou só está pensando nisso, confira este artigo para evitar as armadilhas mais clássicas.

bc571de87362fff096112a04f8d61d8c.png

Erros de implementação de HTTPS

Todos os dados estatísticos foram obtidos durante a pesquisa feita com a ajuda da ferramenta de Site Audit da SEMrush. Coletamos dados anónimos sobre mais de 100.000 sites para entender qual é a frequência de aparição de principais erros de implementação de HTTPS.

É importante dizer que só 45% de sites analisados já migraram para HTTPS, assim que nos baseamos nas informações desses domínios seguros.

Vamos ver mais de perto cada um dos erros possíveis.

1. Páginas não seguras que solicitam logins para acessá-las.

A partir de Janeiro de 2017 (Chrome 56) vamos marcar as páginas HTTP que coletam senhas ou dados de cartão de crédito como não seguras, implementando o plano de longa data de marcar todas as páginas HTTP como não seguras”

— Google Security Blog - Moving towards a more secure web.

Para identificar a frequência deste erro, analisamos todos os 100.000 domínios que deveriam atender os requisitos do Google e encriptar todas as páginas que exigem informações confidenciais.  

Esperamos que essa iniciativa resultará em expansão de HTTPS - no momento descobrimos que 9% de sites analisados ainda solicitam as senhas nas páginas não seguras.

2. Erros de Arquitetura de Sites

  • Conteúdo Misto

O conceito de Conteúdo Misto refere às páginas em HTTPS que contém elementos não seguros, como imagens, links, iFrames, scripts etc. Isso pode resultar em problemas de segurança. Além disso, os navegadores vão avisar os usuários sobre conteúdos não seguros, afetando a experiência de seus usuários da forma negativa e diminuindo a credibilidade do seu site.

Este problema é muito mais comum do que pode parecer - 50% de sites analisados sofrem desse mal, e não é por acaso. É bem difícil e demorado encontrar esse erro manualmente, já que um site pode ter centenas de páginas.

Todos os links internos, imagens, scripts etc devem apontar para versões HTTPS de páginas. Isso é extremamente importante especialmente quando os redirecionamentos HSTS não foram implementados.

De qualquer maneira é melhor garantir que os links apontam para versões HTTPS mesmo se você estiver usando redirecionamentos. Esse problema também é muito frequente e foi encontrado em 50% de sites analisados.

  • Falta de redirecionamentos ou Canonicals de versões HTTP para HTTPS.

Ao migrar seu site de HTTP para HTTPS é importante garantir o redirecionamento correto de páginas canonical por várias razões:

  1. Para garantir uma experiência de usuário segura e estável

  2. Para não confundir os navegadores, permitindo-los indexar as páginas corretas e priorizá-las nos resultados de pesquisa.

Redirecionamentos corretos podem melhorar as posições do site, redirecionamentos com erro podem resultar em perda de tráfego por conta de competição entre páginas.

Este problema não afeta os sites que usam HSTS já que eles evitam a comunicação entre o navegador e o protocolo HTTP (por isso não os consideramos para nossa pesquisa).

Descobrimos que 8% de sites analisados têm home pages em HTTP que não correspondem à versões em HTTPS (lembre-se que estamos falando só de home pages, imagine a quantidade de páginas nesses sites que sofrem desse erro?!)

  • Sitemap.xml inclui URLs em HTTP do Site em HTTPS

Este é um erro bem comum na hora de implementar HTTPS. Para evitar a indexação de versão da página incorreta, é importante incluir no seu sitemap versões HTTPS de páginas ao invés de versões HTTP.  

Te parece óbvio? Mas 5,5% de sites que analisamos cometeram este erro na hora de fazer migração.

Ao migrar para HTTPS não é preciso criar um novo arquivo de sitemap com versões HTTPS de páginas, simplesmente altere o protocolo do sitemap para HTTPS.

Recomendamos conferir o guia do Fili Wiese para aprender a realizar a migração da forma correta.

Erros de Certificado de Segurança

  • Certificado SSL expirado

O certificado SSL (Secure Socket Layer), é usado para estabelecer uma conexão segura entre um servidor e um navegador, protegendo os dados que podem ser roubados.

Para alguns tipos de negócios e empresas que trabalham com dados confidenciais como cartões de crédito e informações de CPF e RG, a expiração desse certificado resulta em perda de credibilidade. Além disso, ao entrar num site com certificado expirado o usuário vê uma mensagem de aviso, aumentando a taxa de rejeição.

Nossa pesquisa mostrou que 2% de sites estão com certificado SSL expirado.

  • Certificado SSL registrado com nome de domínio incorreto

Este error aparece quando o nome do domínio registrado no certificado SSL não corresponde com o endereço que aparece na barra de direção. 6% dos sites que participaram da nossa pesquisa sofrem desse erro.  

Este erro é mais frequente, devido à uma crença comum que um único certificado SSL (registrado para domínio raiz “exemplo.com.br”) também é valido para subdomínios (“subdomínio.exemplo.com.br).

Para solucionar este problema é importante ter o certificado multi-domínio que permite usar o mesmo certificado para vários nomes de domínios ou IPs.

Erros de Servidor

  • Incompatibilidade com Protocolo HSTS (HTTP Strict Transport Security)

O protocolo HSTS é responsável por avisar os navegadores que eles só devem comunicar com os servidores através de conexões seguras HTTPS.

Vamos supor que o usuário digite seu domínio com protocolo HTTP. Nesse caso o protocolo HSTS deve instruir o navegador a usar a versão HTTPS do site. Este protocolo é a proteção contra ataques de downgrade e sequestro de cookies é uma forma de proteger os usuários de famoso ataque de “ Man In The Middle”.

Este tipo de ataques tenta interceptar tráfego de usuário (a vítima) usando um certificado inválido que espera que será aceito. HSTS não permite que os usuários interagem com este tipo de certificados falsos.

Nossa pesquisa demonstrou que 86% de sites analisados eram incompatíveis com HSTS. Não é tão surpreendente assim, considerando que essa tecnologia é relativamente nova que começou a ser aceita por navegadores recentemente.  

  • Versão antiga do protocolo de segurança (TLS 1.0 ou anterior)

Os protocolos TLS (Transport Layer Security) e SSL (Secure Sockets Layer), que proporcionam uma conexão segura entre um site e um navegador, devem ser atualizados regularmente (deve optar por versão 1.1 ou alguma versão mais nova).  

Isso é extremamente importante, considerando que uma versão desatualizada de um protocolo pode provocar roubo de dados.

Infelizmente este erro é bastante comum (encontrado em 3,6% de casos analisados) e significa que mesmo as empresas que se preocupam com a renovação do certificado SSL podem se esquecer de atualizar a versão do protocolo.

  • Incompatibilidade com a extenção SNI (Server Name Indication)

O servidor SN é a extensão do protocolo TLS (Transport Layer Security) que te permite a alocar vários servidores e certificados no mesmo IP. O uso de SNI permite resolver o problema comentado anteriormente - o  de certificado SSL registrado com nome de domínio incorreto.

Vamos supor que você criou um subdomínio novo e recebeu uma notificação de que sua conexão não é segura já que o certificado SSL está registrado com um outro nome de domínio e é praticamente impossível prever todos os possíveis nomes. Nesse caso a extensão SNI pode te ajudar a prevenir esse erros.

Usar extensão SNI é mais recomendação que obrigação, provavelmente por isso só encontramos erros de SNI em 0,56% de sites.

Relatório de Implementação de HTTPS da SEMrush

Todos os erros comentados nesse artigo podem ser detectados com a ajuda do relatório de Implementação de HTTPS da ferramenta Site Audit da SEMrush

Queremos acrescentar alguns pontos sobre a realização técnica do relatório e como ele pode ajudar a encontrar os erros de HTTPS.

Ao detectar os erros relacionados à certificado SSL expirado, o relatório da SEMrush não só indica a expiração mas também mostra a data em que isso aconteceu. Além disso, o relatório pode te ajudar a evitar esse problema enviando uma notificação avisando sobre a aproximação da data limite do seu certificado.

40eeef3732b0e4560c4f34edda2d90c2.png

Se um certificado foi registrado com um nome de domínio incorreto, o relatório vai mostrar o domínio que consta no certificado ajudando a identificar o problema.

Falando de erros de servidor, o relatório vai providenciar informação completa sobre um subdomínio específico que precisa de atualização de protocolo de segurança, implementação de HSTS ou apoio de SNI.

1272567327dfeda36878c7f87e948eec.png

Falando de erros relacionados à arquitetura do site, o relatório da SEMrush permite detectar qualquer tipo de elemento HTTP, indicando conteúdos mistos.

Isso quer dizer que o relatório é capaz de identificar e mostrar qualquer elemento não seguro preservando seu tempo e esforços.

f1b8ecf45a570c2c0a3eb6ffd5029bbf.png

O relatório também mostra o grau de gravidade de cada erro para estabelecer a prioridade de resolvê-los.  

22834e9a352b9bd4cedf487cb1750ea2.png

Considerando isso e a alta velocidade de rastreio, mais de 50 verificações da página e outros aspetos técnicos de SEO e o interface amigável, podemos dizer que a Site Audit da SEMrush é uma das mais potentes ferramentas de auditoria no mercado e uma das melhores ferramentas de SEO.

Qual é  a sua opinião? Compartilhe o que você achou do nosso relatório e conte-nos quais erros de implementação de HTTPS foram os mais problemáticos para você e como você conseguiu corrigi-los.

Compartilhar
Author Photo
Apaixonada por viagens, música e marketing digital, represento a Semrush no mercado brasileiro e português.