O que é HTTPS: guia definitivo de como funciona o HTTPS

Brian Harnish

fev 01, 202111 min de leitura
O que é HTTPS?
Compartilhar

ÍNDICE

Uma definição rápida: HTTPS significa “protocolo de transferência de hipertexto seguro” (hypertext transfer protocol secure, em inglês), e é a versão criptografada do HTTP. Ele é usado para realizar a comunicação segura na Internet ou em uma rede. O protocolo de comunicação é criptografado usando Transport Layer Security (TLS) ou, anteriormente, Secure Sockets Layer (SSL). 


Neste artigo vamos analisar em detalhes o mundo do HTTP x HTTPS, como eles funcionam e como garantir que seu site sobreviva a qualquer problema técnico ao migrar de um protocolo para outro. Esta é uma breve descrição do que vamos tratar:

No início, os profissionais de SEO usavam HTTP, um protocolo utilizado para oferecer páginas para os usuários. A Web era simples e as migrações de sites existiam apenas de domínio para domínio ou servidor para servidor. Não era necessário se preocupar com muito mais além dos redirecionamentos habituais e garantir que a migração do site fosse feita sem problemas. Depois, veio o HTTPS.

Novas tecnologias sempre criam novos problemas que devem ser resolvidos para continuar alcançando os mesmos resultados (ou melhores).

HTTP e HTTPS: sua importância para a WWW

HTTP, ou protocolo de transferência de hipertexto, é a estrutura da rede mundial de computadores (“world wide web”, em inglês). É o protocolo usado pelo servidor para processar, renderizar e disponibilizar páginas da Web para o navegador do cliente. HTTP é o meio pelo qual a maior parte da Web é exibida.

HTTP e HTTPS funcionam através do que chamamos de solicitações. Essas solicitações são criadas pelo navegador do usuário quando ele interage com algum site. Esse é um elemento importante na renderização de páginas, e, sem ele, você não estaria usando a Web como ela existe hoje.

Como funciona: digamos que alguém pesquise: "como fazer a migração de um site". A solicitação é enviada para o servidor, que envia outra solicitação de volta com os resultados da consulta. Esses resultados são exibidos na SERP (página de resultados do mecanismo de pesquisa) que você vê ao concluir a pesquisa.

Tudo isso acontece em milissegundos. Essa é uma visão geral de como o protocolo de transferência de hipertexto funciona.

O que é HTTP? 

HTTP é a abreviação do protocolo de transferência de hipertexto. Esse é o principal método pelo qual os dados de páginas da Web são transferidos através de uma rede. As páginas da Web são armazenadas em servidores, que depois são disponibilizadas no computador cliente à medida que o usuário as acessa.

A rede resultante dessas conexões cria a rede mundial de computadores (world wide web) como a conhecemos hoje. Ou seja, sem HTTP, a world wide web (WWW) como conhecemos não existiria.

Uma conexão HTTP tem um grande problema: os dados transferidos através de uma conexão desse tipo não são criptografados, então você corre o risco de invasores de terceiros roubarem as informações. Todas as informações transmitidas através desta rede via HTTP não são privadas, portanto, qualquer dado de cartão de crédito e informações confidenciais não devem ser enviados se você estiver em uma página HTTP.

Como funciona o HTTPS?

Ao contrário do HTTP, o HTTPS usa um certificado seguro de um fornecedor terceirizado para proteger uma conexão e verificar se o site é legítimo. Esse certificado seguro é conhecido como Certificado SSL.

SSL é a abreviação de "secure sockets layer” (camada de soquetes segura). É isso que cria uma conexão segura e criptografada entre um navegador e um servidor, que protege a camada de comunicação entre os dois.

Esse certificado criptografa uma conexão com um nível de proteção designado no momento da compra de um certificado SSL. Um certificado SSL fornece uma camada extra de segurança para dados confidenciais que você não quer que terceiros acessem. Essa segurança adicional pode ser extremamente importante quando se trata de gerenciar sites de e-commerce.

Alguns exemplos:

  • Quando você quer proteger a transmissão de dados de cartão de crédito ou outras informações confidenciais (como o endereço real e a identidade física de alguém). 

  • Quando tem um site de geração de leads que depende das informações verdadeiras de alguém. Nesse caso, HTTPS deve ser usado para proteger contra ataques mal-intencionados aos dados do usuário.

O HTTPS tem vários benefícios que valem o baixo custo. Lembre-se: se não houver o certificado, um terceiro pode verificar facilmente a conexão em busca de dados confidenciais.

http x https

O que é TLS? Como ele se aplica ao HTTPS

TLS significa “transport layer security” (segurança da camada de transporte). Ele ajuda a criptografar HTTPS e pode ser usado para proteger e-mails e outros protocolos. Usa técnicas criptográficas que garantem que os dados não foram adulterados desde que foram enviados, que as comunicações estão em posse da pessoa real de onde a comunicação veio e evita que dados privados sejam visualizados.

Tudo começa com um TLS handshake, o processo que inicia uma sessão de comunicação que usa criptografia TLS. É aqui que ocorre a autenticação e as chaves de sessão são criadas. Novas chaves de sessão são geradas quando dois dispositivos se comunicam, a partir das duas chaves diferentes que funcionam em conjunto. O resultado disso é uma comunicação mais profunda e criptografada.

Handshake TLS detalhes

Abaixo estão alguns erros que o Google sugere que você evite.

Erros de https do Google

Uma etapa essencial para HTTPS: autenticação do servidor da Web

O passo mais importante para uma conexão segura HTTPS é garantir que um servidor da Web seja quem diz ser.

É por isso que o certificado SSL é a parte mais importante de tudo isso: ele garante que o proprietário do servidor da Web é quem o certificado diz ser. Isso funciona de forma muito parecida a uma carteira de motorista: ele confirma a identidade do proprietário do servidor.

Quando você implementa o HTTPS, há uma camada de proteção contra certos tipos de ataques, o que o torna um elemento valioso para o site.

HTTP x HTTPS — HTTPS constrói confiança com os usuários

Um grande benefício do HTTPS é que ele ajuda a construir confiança com os usuários. Se você tem um site de e-commerce que aceita dados de cartão de crédito, o fato de que há um cadeado no seu site no navegador transmite aos usuários a confiança de que o site pode lidar com transações de cartão de crédito sem vazar dados.

Conexão segura https

Assim, os usuários confiam no site muito mais do que se ele fosse um site sem segurança — e navegadores modernos alertam os usuários quando os sites não são "seguros".

Com HTTPS, dados de cartão de crédito, senhas, dados de usuários privados e dados pessoais são criptografados com uma forte camada de segurança. Essa segurança é o que permitirá que o site continue a ser competitivo com outros no nicho.

Além de proteger os dados do usuário, https:// ajuda a proteger sua reputação. Se você sofre violações de segurança regularmente no site e dados de usuários são expostos, as pessoas não vão querer usá-lo. Isso pode prejudicar sua reputação online de modo irreparável e comprometer você a longo prazo.

Exceções ao HTTP

Embora exceções sejam cada vez mais raras hoje em dia, ainda existem casos que não fizeram a mudança completa para https://. Em certos casos, isso faz sentido — se seus usuários não fornecem dados confidenciais regularmente para e-commerce ou por outros motivos, provavelmente você não precisará aumentar a segurança.

Em um mundo perfeito, quando todos os fatores de um site são iguais, https:// é o desempate em posicionamentos. No entanto, raramente vivemos em um mundo perfeito quando se trata de SEO. Assim, você ainda pode se posicionar com http://.

Embora os benefícios do https:// sejam muitos, John Mueller também disse que o HTTPS é um fator de classificação leve, e ele é, mas o Google diz que "quando todo o resto é igual, o HTTPS é o status de desempate no posicionamento."

Problemas de SEO na migração: passando de HTTP para HTTPS

A mudança de HTTP para HTTPS tem vários benefícios, especialmente do ponto de vista de SEO. No entanto, a menos que você esteja familiarizado com o processo, pode causar mais danos que benefícios.

É preciso informar ao Google sobre a transição. Você precisa escolher o certificado que é melhor para sua situação, configurar o Google Search Console, configurar o Google Analytics, atualizar links internos e atualizar todas as URLs relativas. Vamos analisar melhor cada um desses itens. 

Informar ao Google sobre a transição e erros a evitar

Essa etapa envolve a configuração de outro perfil do Google Search Console. Não desative o seu perfil GSC não seguro. Em vez disso, você precisa manter todos os perfis ativos. Configure um novo perfil para a versão HTTPS do seu site e garanta que ele continue coletando dados.

Além disso, no Google Analytics, você deve definir seu perfil como seguro. Caso contrário, não estará rastreando os dados certos.

Não se esqueça de atualizar os parâmetros de coleta de dados no Gerenciador de tags do Google, quando for o caso. Além disso, se você usar o Bing Webmaster Tools, também será necessário atualizar http://para https:// durante a migração.

A frequência com que erros em transições de http:// para https:// são encontrados é surpreendente. Normalmente, eles foram causados pela falta de supervisão no desenvolvimento no processo de transição inicial e pela não atualização de perfis de rastreamento de dados importantes.

Esses tipos de erros podem levar a subnotificação e supernotificação de dados, ambos os quais podem afetar drasticamente a precisão das suas decisões de estratégia de SEO.

Escolha o certificado de segurança correto: certificados SSL e Wildcard

Certificados SSL são úteis para vários fins. Um para um único domínio, outro para vários domínios, sem mencionar os certificados Wildcard. Para sites menores, um certificado Wildcard completo geralmente não é necessário. No entanto, ele pode tornar sua vida muito mais fácil ao controlar a sintaxe de URL nos seus sites.

Um certificado SSL para um único domínio é emitido para um subdomínio ou para o próprio domínio. Um certificado SSL para vários domínios permitirá que você proteja o nome de domínio principal e até 99 SANs ou nomes de assunto alternativos.

O wildcard permite proteger a URL inicial do site e todos os subdomínios associados a ela. O que isso significa? Significa que, se você configurar domain.maindomain.com e ele for criado com um certificado wildcard, ele será seguro automaticamente. Você não precisará investir mais esforços para garantir que ele se encaixe na segurança que o site já tem. Em outras palavras, vai eliminar muitas dores de cabeça.

Claramente, o certificado wildcard é o vencedor. Mas, como um certificado robusto com muitas características diferentes, ele custa mais, então você terá que ponderar a despesa comercial adicional e compará-la com os recursos que ganhará.

Confira se todas as URLs estão atualizadas em todo o site

Alguns recomendam usar apenas URLs relativas para seus recursos. Assumindo que você tem habilidade em gerenciar as necessidades contínuas do site, não precisa dessa etapa. Basta garantir que todo o conteúdo no site esteja protegido pelo protocolo correto. E não se esqueça do seu sitemap XML!

É surpreendente quantas auditorias de sites mostram que essa etapa não foi feita: garantir que todo o conteúdo esteja protegido.

Não importa se você usa URLs relativas ou absolutas, desde que as mantenha atualizadas no site. Você pode mudar para URLs relativas, se preferir, mas se o site é construído em URLs absolutas, use a opção de localizar e substituir no seu banco de dados, se seu site permitir isso. Isso ajudará você a eliminar todas as ocorrências existentes de conteúdo misto.

Confira se as URLs começam com https:// depois de fazer a transição, e provavelmente você não terá grandes problemas.

Não impeça o Google de rastrear seu novo site HTTPS

Garanta que todos os elementos sejam rastreáveis a partir do seu robots.txt. A menos que você tenha um problema específico, como uma pasta que realmente não deve ser indexada, faz sentido permitir que o Google rastreie todo o site, até mesmo arquivos CSS e JS. Se seu site não permite a renderização de arquivos CSS e JS, talvez você encontre problemas.

Um exemplo disso é que, se você não permitir que um elemento CSS ou JS importante seja renderizado na página, poderá impedir que o Google entenda todo o contexto da página, o que é importante para alcançar posicionamentos mais altos. Além disso, em cerca de 99% dos casos, não há razão para proibir arquivos CSS ou JSS dessa maneira.

A ferramenta Auditoria do site da SEMrush fornecerá muitas informações úteis sobre a implementação de HTTPS. Ela mostra os problemas que você pode ter e oferece recomendações para corrigi-los. 

Https erros na auditoria de site da Semrush

Confira tudo durante a migração

O monitoramento regular e contínuo do site é fundamental para a migração bem-sucedida para https://. Verifique o Google Search Console, o Google Analytics e confira com outro software de relatório. Se você não tiver atualizado de http:// para https://, faça isso o mais rápido possível. Dessa forma, não encontrará mais problemas que possam prejudicar seriamente seus esforços de SEO.

HTTP:// x HTTPS:// : qual é o melhor?

Se você não entende bem de SEO, pode ser assustador descobrir os detalhes por trás da escolha de um protocolo com ou sem segurança. Confira alguns pontos que podem ajudar a tomar uma decisão:

  • Você tem uma loja de e-commerce que lida com informações confidenciais de cartão de crédito e dados pessoais?Então, proteger seu site com HTTPS é a opção ideal. Ele ajudará a transmitir boa vontade e confiança aos clientes online, e garantirá que você não cometa o erro de estar vulnerável para ataques na Web. Sua reputação online também terá um posicionamento mais positivo.
  • Você não tem uma loja de e-commerce, mas lida com pessoas que enviam informações (por exemplo, através de um site de geração de leads)? Então você precisa usar HTTPS. As pessoas contam com a segurança da Web para protegê-las, e não querem que seus dados pessoais sejam comprometidos. Essa escolha ajuda a adicionar mais uma camada de confiança e legitimidade à sua empresa.
  • Você deve usar a opção gratuita Let 's Encrypt? Bem, depende. Você está começando e não tem orçamento para outra opção? Então, essa é uma boa ideia. Mas, se você é uma empresa que ganha muitos milhões, usar uma opção mais cara como GeoTrust ou Comodo é mais indicado. Ambas fazem a mesma coisa quando a implementação é bem feita, mas no marketing, a percepção é importante.

A escolha de continuar com http:// ou mudar para https:// depende de você. Mas, quando se trata de criar uma Web mais segura, mudar para https:// tem suas vantagens.

Mais dicas do Google sobre HTTPS - HSTS e perguntas frequentes

Youtube video thumbnail
Compartilhar