HTTPS na Google
É um mecanismo que permite ao seu navegador ou aplicativo se conectar a um website de maneira segura. O HTTPS é uma das medidas que ajudam a manter sua navegação segura, importante para realizar ações como fazer login no website do seu banco ou enviar informações do seu cartão de crédito a uma loja on-line. O HTTPS é baseado em criptografia SSL ou TLS para manter a conexão segura. Essas conexões à Web protegem contra espionagem, ataques man-in-the-middle e invasores que tentem burlar um website confiável. Em outras palavras, esse mecanismo impede
a intercepção dos seus dados e garante a integridade das informações enviadas e recebidas. A Google tem trabalhado para atingir o objetivo de implementar a criptografia em todos os produtos e serviços da Google. Os gráficos abaixo mostram como isso está sendo feito. Para ver mais detalhes sobre os dados, acesse nossa seção “Perguntas frequentes”. #movingtoHTTPS
O que é HTTPS?
O protocolo seguro de transferência de hipertexto (HTTPS, na sigla em inglês) é um protocolo de comunicação da Internet que protege a integridade e a confidencialidade dos dados entre o computador do usuário e o site. Os usuários esperam segurança e privacidade quando usam um website. Recomendamos que você adote o HTTPS para proteger a conexão dos usuários ao seu website, independentemente do conteúdo dele.
Os dados enviados com HTTPS estão protegidos pelo protocolo de segurança da camada de transporte (TLS, na sigla em inglês), que fornece três camadas principais de proteção:
- Criptografia. Criptografe os dados trocados para mantê-los a salvo de ataques de eavesdropping. Isso significa que, enquanto o usuário navega em um website, ninguém pode “ouvir” suas conversas, acompanhar suas atividades em várias páginas ou roubar suas informações.
- Integridade dos dados. Os dados não podem ser modificados ou corrompidos durante a transferência, intencionalmente ou não, sem serem detectados.
- Autenticação. Prova que os usuários se comunicam com o website desejado. Protege contra ataques man-in-the-middle e aumenta a confiança do usuário, o que beneficia os negócios.
Práticas recomendadas para a implementação do HTTPS
Usar certificados de segurança fortes
Você precisa ter um certificado de segurança como parte da ativação do HTTPS no site. O certificado é emitido por uma autoridade de certificação (CA, na sigla em inglês), que realiza um processo para verificar se o endereço da Web pertence realmente à sua organização. Isso protege os clientes de ataques man-in-the-middle. Ao configurar seu certificado, assegure um alto nível de segurança escolhendo uma chave de 2048 bits. Se você já tem um certificado com uma chave mais fraca (1024 bits), faça o upgrade para 2048 bits. Ao escolher o certificado do site, tenha em mente o seguinte:
- Acesse seu certificado em uma CA confiável que ofereça suporte técnico.
- Decida qual tipo de certificado é necessário:
- Certificado único para origem segura única (por exemplo,
www.example.com
). - Certificado de vários domínios para múltiplas origens seguras já conhecidas (por exemplo,
www.example.com, cdn.example.com, example.co.uk
). - Certificado de caracteres curinga para uma origem segura com vários subdomínios dinâmicos (por exemplo,
a.example.com, b.example.com
).
- Certificado único para origem segura única (por exemplo,
Usar redirecionamentos 301 de servidor
Redirecione os usuários e os mecanismos de pesquisa à página ou ao recurso HTTPS com redirecionamentos HTTP 301 no servidor.
Verificar se o Google consegue rastrear e indexar as páginas HTTPS
- Não bloqueie suas páginas HTTPS por meio de arquivos robots.txt.
- Não inclua metatags
noindex
nas suas páginas HTTPS. - Use o recurso Fetch as Google para testar se o Googlebot consegue acessar suas páginas.
Criar conteúdo compatível com segurança de transporte restrito HTTP (HSTS, na sigla em inglês)
Recomendamos que os sites HTTPS sejam compatíveis com HSTS. Ela faz com que o navegador solicite páginas HTTPS automaticamente, mesmo que o usuário insira http
na barra de local do navegador. Além disso, a HSTS solicita que o Google retorne URLs seguros nos resultados da pesquisa. Isso minimiza o risco de exibir conteúdo não seguro aos usuários.
Use um servidor da Web que seja compatível com segurança de transporte restrito HTTP ou HSTS (página indisponível em português) e ative esse recurso.
A HSTS aumenta a complexidade da sua estratégia de reversão. Recomendamos ativar a HSTS da seguinte forma:
- Primeiramente, implemente suas páginas HTTPS sem HSTS.
- Comece a enviar cabeçalhos HSTS com um período máximo curto. Monitore o tráfego dos seus usuários e de outros clientes e também do desempenho dos dependentes, como anúncios.
- Aumente aos poucos o período máximo da HSTS.
- Se a HSTS não tiver efeito negativo nos usuários e nos mecanismos de pesquisa, você poderá pedir que seu site seja adicionado à lista de pré-carregamento de HSTS do Chrome (em inglês).
Considere usar o pré-carregamento de HSTS.
Se você ativar a HSTS, terá a opção de ativar a compatibilidade com pré-carregamento de HSTS (em inglês) e aumentar sua segurança. Para isso, é preciso definir a diretiva includeSubDomains
no cabeçalho HSTS. A correspondência de subdomínio funciona da seguinte maneira: se o site www.example.com veicular um cabeçalho HSTS com includeSubdomains
, estes serão os domínios correspondentes
Migrar de HTTP para HTTPS
Se você migrar seu site de HTTP para HTTPS, o Google tratará isso como uma mudança de site com alteração de URL. Isso poderá afetar temporariamente algumas das suas estatísticas de tráfego. Consulte a página da visão geral de mudanças de site para saber mais.
Adicione a propriedade HTTPS ao Search Console. Ele lida com o HTTP e o HTTPS separadamente, e os dados dessas propriedades não são compartilhados no Search Console. Por isso, se você tiver páginas em ambos os protocolos, precisará ter uma propriedade separada no Search Console para cada um deles.
Mais informações
Mais detalhes sobre a implementação de TLS no seu site: