Proteger seu site com HTTPS

O protocolo de transferência de hipertexto seguro (HTTPS, na sigla em inglês) é um protocolo de comunicação da Internet que protege a integridade e a confidencialidade dos dados entre o computador do usuário e o site. Os usuários esperam segurança e privacidade quando usam um site. Recomendamos que você adote o HTTPS para proteger a conexão dos usuários ao seu site, qualquer que seja o conteúdo dele.

Os dados enviados com o HTTPS estão protegidos pelo protocolo Transport Layer Security (TLS), que fornece três camadas principais de proteção:

  1. Criptografia: os dados enviados e recebidos são criptografados para protegê-los de intrusos. Isso significa que, enquanto o usuário navega em um site, ninguém pode "ouvir" as conversas, acompanhar as atividades em várias páginas nem roubar as informações dele.
  2. Integridade dos dados: não é possível modificar nem corromper os dados durante a transferência (intencionalmente ou não) sem que isso seja detectado.
  3. Autenticação: prova que os usuários estão se comunicando com o site certo. Protege contra ataques "man-in-the-middle" e aumenta a confiança do usuário, o que beneficia os negócios.

Práticas recomendadas para a implementação do HTTPS

Usar certificados de segurança confiáveis

Você precisa ter um certificado de segurança como parte da ativação do HTTPS no site. O certificado é emitido por uma autoridade de certificação (CA, na sigla em inglês), que realiza um processo para verificar se o endereço da Web pertence realmente à sua organização. Isso protege os clientes de ataques "man-in-the-middle". Ao configurar seu certificado, use uma chave de 2.048 bits para garantir um alto nível de segurança. Caso você já tenha um certificado com uma chave mais fraca (1.024 bits), faça upgrade para 2.048 bits. Ao escolher o certificado do site, tenha em mente o seguinte:

  • Procure um certificado de uma CA confiável que ofereça suporte técnico.
  • Decida qual tipo de certificado é necessário:
    • Certificado único para origem segura única (www.example.com).
    • Certificado de vários domínios para múltiplas origens seguras já conhecidas (por exemplo, www.example.com, cdn.example.com, example.co.uk)
    • Certificado de caracteres curinga para uma origem segura com vários subdomínios dinâmicos (por exemplo, a.example.com, b.example.com)

Usar redirecionamentos permanentes do lado do servidor

Redirecione os usuários e os mecanismos de pesquisa à página ou ao recurso HTTPS com redirecionamentos permanentes do lado do servidor.

Verificar se o Google consegue rastrear e indexar as páginas HTTPS

  • Use a Ferramenta de inspeção de URL para testar se o Googlebot consegue acessar as páginas.
  • Não bloqueie as páginas HTTPS com arquivos robots.txt.
  • Não inclua tags noindex nas páginas HTTPS.

Criar conteúdo compatível com segurança de transporte restrito HTTP (HSTS)

Recomendamos que os sites HTTPS sejam compatíveis com HSTS, ou HTTP Strict Transport Security (em inglês). A HSTS faz com que o navegador solicite páginas HTTPS automaticamente, mesmo que o usuário insira http na barra de local do navegador. Além disso, a HSTS solicita que o Google retorne URLs seguros nos resultados da pesquisa. Isso minimiza o risco de exibir conteúdo não seguro aos usuários.

Use um servidor da Web que seja compatível com HSTS e ative esse recurso.

Embora seja mais segura, a HSTS aumenta a complexidade da estratégia de reversão. Recomendamos ativar a HSTS da seguinte forma:

  1. Primeiro implemente as páginas HTTPS sem HSTS.
  2. Comece a enviar cabeçalhos HSTS com um max-age curto. Monitore o tráfego dos seus usuários e de outros clientes e também do desempenho dos dependentes, como anúncios.
  3. Aumente lentamente o max-age da HSTS.
  4. Se o uso da HSTS não tiver efeito negativo nos usuários e nos mecanismos de pesquisa, você poderá solicitar que seu site seja adicionado à lista de pré-carregamento de HSTS, usada pela maioria dos principais navegadores. Isso aumenta a segurança e melhora o desempenho.

Evitar erros comuns

Durante o processo de tornar o site seguro com TLS, evite os seguintes erros:

Erros comuns e as soluções deles
Certificados expirados Sempre verifique se o certificado está atualizado.
Certificado registrado em um nome de site incorreto Confira se você tem os certificados de todos os nomes de host que seu site atende. Por exemplo, se o certificado corresponder somente a www.example.com, um visitante que carregar o site usando só example.com (sem o prefixo www.) será bloqueado por um erro de incompatibilidade de nome de certificado.
Incompatibilidade com Indicação do nome do servidor (SNI, na sigla em inglês). Confira se o servidor da Web é compatível com SNI e se o público utiliza navegadores compatíveis em geral. Embora a SNI seja compatível com todos os navegadores modernos, será necessário ter um IP dedicado se você precisar de suporte para navegadores antigos.
Problemas de rastreamento Não bloqueie o rastreamento do site HTTPS com robots.txt. Saiba mais.
Problemas de indexação Permita a indexação das páginas por mecanismos de pesquisa sempre que possível. Não use a tag noindex.
Versões antigas do protocolo Versões antigas do protocolo são vulneráveis. É preciso usar as versões mais novas e recentes das bibliotecas TLS e implementar as últimas versões do protocolo.
Elementos de segurança mistos Incorpore somente conteúdo HTTPS em páginas HTTPS.
Conteúdo diferente em HTTP e em HTTPS Confirme se o conteúdo do site em HTTP e em HTTPS é o mesmo.
Erros de Código de status HTTP no HTTPS Verifique se o site retorna o Código de status HTTP correto. Por exemplo, 200 OK para páginas acessíveis ou 404 ou 410 para páginas que não existem.

Migrar de HTTP para HTTPS

O Google trata migrações de HTTP para HTTPS como mudanças de site com alteração de URL. Isso poderá afetar temporariamente algumas das suas estatísticas de tráfego. Saiba mais sobre recomendações para todas as mudanças de site.

Adicione a nova propriedade HTTPS ao Search Console. O Search Console lida com HTTP e HTTPS separadamente e não compartilha dados entre propriedades.

Para mais dicas sobre como usar páginas HTTPS no seu site, consulte as Perguntas frequentes sobre migração para HTTPS.

Mais recursos sobre a implementação de TLS

Veja mais alguns recursos sobre a implementação de TLS no seu site: