Por que usar HTTPS?

Google Chrome is marking non-HTTPS sites as "Not secure", this is just one of many good reasons to secure a website.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Outline the changes to HTTPs traffic
  • Explain The history of the steps google made to get here
  • Explain the myths of HTTPs and the truth

Copiar o link do artigo

Qual é a diferença entre HTTP e HTTPS?

O HTTPS é um HTTP com criptografia TLS. O HTTPS usa TLS (SSL) para criptografar solicitações e respostas HTTP normais, tornando-o mais seguro e protegido. Um site que usa HTTPS tem https:// no início de sua URL em vez de http://, como em https://www.cloudflare.com.

Então, por que os sites devem usar HTTPS?

Motivo Nº 1: O site que utiliza HTTPS é mais digno de confiança para os usuários.

"Um site que usa HTTPS é como um restaurante que exibe o cartaz "Aprovado" do inspetor local de segurança alimentar: os clientes em potencial podem confiar que podem frequentar o restaurante sem sofrerem efeitos muito negativos. E nos dias de hoje, usar HTTP é basicamente como exibir um cartaz de inspeção de segurança alimentar dizendo "Reprovado": não há garantia de que algo terrível não aconteça a um cliente.

O HTTPS usa o protocolo SSL/TLS para criptografar as comunicações para que os invasores não possam roubar dados. O SSL/TLS também confirma que o servidor de um site é quem diz ser, evitando imitações. Isso evita vários tipos de ataques cibernéticos (assim como a segurança alimentar evita doenças).

Embora alguns usuários possam não estar cientes dos benefícios do SSL/TLS, os navegadores modernos estão se certificando de que estão cientes da confiabilidade de um site, aconteça o que acontecer.

O Chrome e outros navegadores marcam todos os sites HTTP como "inseguros."

O Google gradualmente tomou medidas para incentivar os sites a incorporar o HTTPS durante vários anos. O Google também usa o HTTPS como um fator de qualidade na forma como eles retornam os resultados de pesquisa; quanto mais seguro o site, menos provável que o visitante cometa um erro ao clicar no link que o Google forneceu.

A partir de julho de 2018, com o lançamento do Chrome 68, todo o tráfego HTTP inseguro foi sinalizado na barra da URL como "inseguro". Essa notificação aparece para todos os sites sem um certificado SSL válido. Outros navegadores seguiram o exemplo.

Motivo nº 2: o HTTPS é mais seguro, tanto para os usuários quanto para os proprietários do site.

Com o HTTPS, os dados são criptografados em trânsito nas duas direções: indo e vindo do servidor de origem. O protocolo mantém as comunicações seguras para que as partes maliciosas não possam observar quais dados estão sendo enviados. Como resultado, nomes de usuário e senhas não podem ser roubados em trânsito quando os usuários os inserem em um formulário. Se os sites ou os aplicativos web tiverem que enviar dados sensíveis ou pessoais aos usuários (por exemplo, informações de contas bancárias), a criptografia também protege esses dados.

Motivo Nº 3: o HTTPS autentica os sites.

Os usuários de aplicativos de compartilhamento de viagens, como Uber e Lyft, não precisam entrar em um carro desconhecido, só porque o motorista diz que estão lá para buscá-los. Em vez disso, os aplicativos dão a eles informações sobre o motorista, como seu nome e aparência, que tipo de carro eles dirigem e o número da placa. O usuário pode verificar esses dados e ter certeza de que estão entrando no carro certo, mesmo que cada carro seja diferente e eles nunca tenham visto o motorista antes.

Da mesma forma, quando um usuário navega para um site, o que ele realmente está fazendo é se conectar a computadores distantes que ele não conhece, mantidos por pessoas que ele nunca viu. Um certificado SSL, que habilita o HTTPS, é como aquela informação sobre o motorista no aplicativo de compartilhamento de viagens. Ele representa a verificação externa feita por um terceiro confiável de que um servidor web é quem ele afirma ser.

Isso evita ataques em que um invasor se faz passar por um site falso, fazendo os usuários pensarem que estão no site que pretendiam acessar, quando na verdade estão em um site falso. A autenticação HTTPS também faz muito para ajudar o site de uma empresa a parecer legítimo, e isso influencia as atitudes dos usuários em relação à própria empresa. (Os usuários podem verificar se um site está usando HTTPS adequadamente, testando-o no Cloudflare Diagnostic Center).

Mitos sobre o HTTPS

Muitos sites têm demorado para adotar o HTTPS. Para explorar por que é este o caso, temos que analisar o histórico.

Quando o HTTPS começou a ser implementado inicialmente, a implementação adequada era difícil, lenta e cara; era difícil de implementar corretamente, atrasava as solicitações pela internet e aumentava os custos ao exigir serviços de certificados caros. Nenhum destes impedimentos continua sendo verdadeiro, mas ainda persiste o medo para muitos proprietários de sites, o que impediu alguns avançarem e melhorar a segurança. Vamos explorar alguns dos mitos sobre o HTTPS.

"Eu não lido com informações sensíveis no meu site, portanto não preciso do HTTPS"

Um motivo comum pelo qual os sites não implementam recursos de segurança é porque eles acham que é um exagero considerando-se seus propósitos. Afinal, se você não está lidando com dados sensíveis, quem se importa se alguém está espionando? Existem alguns motivos pelos quais esta seja uma visão excessivamente simplista da segurança na web. Por exemplo, alguns provedores de serviços de internet injetam publicidade em sites oferecidos por HTTP. Esses anúncios podem ou não estar de acordo com o conteúdo do site e podem ser potencialmente ofensivos, além do fato de que o provedor do site não tem participação criativa ou participação na receita. Esses anúncios injetados não são mais viáveis depois que um site está protegido.

Os modernos navegadores web agora limitam as funcionalidades para sites que não são seguros. Recursos importantes que melhoram a qualidade do site agora exigem HTTPS. Geolocalização, notificações push e os workers de serviço necessários para executar aplicativos web progressivos (PWAs) exigem maior segurança. Isso faz sentido; dados como a localização de um usuário são sensíveis e podem ser usados para fins criminosos.

"Não quero prejudicar o desempenho do meu site aumentando o tempo de carregamento da minha página"

O desempenho é um fator importante tanto para a experiência do usuário quanto para a forma como o Google retorna resultados de pesquisa. Compreensivelmente, o aumento da latência é algo a ser levado a sério. Felizmente, ao longo do tempo foram feitas melhorias no HTTPS para reduzir a sobrecarga do desempenho necessária para estabelecer uma conexão criptografada.

Quando ocorre uma conexão HTTP, há uma série de viagens que a conexão precisa fazer entre o cliente que solicita a página web e o servidor. Além da latência normal associada a um handshake TCP (mostrado em azul abaixo), um handshake TLS/SSL adicional (mostrado em amarelo) deve ocorrer para usar o HTTPS.

Podem ser implementadas melhorias para reduzir a latência total ao se criar uma conexão SSL, incluindo a retomada da sessão TLS e o falso início de TLS.

Ao utilizar a retomada de sessão, um servidor pode manter uma conexão ativa por mais tempo, retomando a mesma sessão para solicitações adicionais. Manter a conexão ativa economiza tempo na renegociação da conexão quando o cliente precisa realizar uma busca de origem sem armazenamento em cache, reduzindo o RTT total em 50%.

Outra melhoria na velocidade com que um canal criptografado pode ser criado é a implementação de um processo chamado falso início de TLS, que reduz a latência ao enviar os dados criptografados antes que o cliente tenha terminado a autenticação. Para obter mais informações explore como o TLS/SSL funciona em uma CDN.

Por último, mas não menos importante, o HTTPS desbloqueia melhorias de desempenho usando HTTP/2 que permitem fazer coisas legais como o push e a multiplexação do servidor, o que pode otimizar grandemente o desempenho das solicitações HTTP. No total, há um benefício significativo para o desempenho com a troca.

"É muito caro implementar o HTTPS"

Em um determinado momento, isso pode ter sido verdade, mas agora o custo não é mais uma preocupação; a Cloudflare oferece aos sites a capacidade de criptografar o trânsito gratuitamente. Fomos os primeiros a fornecer SSL gratuitamente e continuamos a fazê-lo. Ao melhorar a segurança da internet em geral, podemos ajudar a tornar a internet mais segura e rápida.

"Vou perder a classificação de pesquisa ao migrar meu site para o HTTPS"

Há riscos associados à migração do site, e se isso for feito de forma inadequada é possível que cause um impacto negativo no SEO. Possíveis armadilhas incluem tempo de inatividade do site, páginas não rastreadas e penalização por duplicação de conteúdo quando existem duas cópias do site ao mesmo tempo. Dito isto, os sites podem ser migrados com segurança para o HTTPS, ao seguir as melhores práticas.

Duas das práticas de migração mais importantes são:

1) utilizar os redirecionamentos 301 e 2) a colocação adequada de tags padronizadas. Ao utilizar o redirecionamento 301 do servidor no site HTTP para apontar para a versão HTTPS, um site diz ao Google para migrar para o novo local para fim de realização de todas as pesquisas e indexações. Ao colocar as tags padronizadas somente no site HTTPS, os rastreadores como o Googlebot saberão que o novo conteúdo seguro deve ser considerado padrão no futuro.

Caso você tenha um grande número de páginas e está preocupado que o novo rastreamento demore muito, entre em contato com o Google e diga a eles quanto tráfego você deseja que passe pelo seu site. Os engenheiros de rede então irão aumentar a taxa de rastreamento para ajudar a analisar seu site rapidamente e indexá-lo.