Todos os sites precisam ser protegidos com HTTPS, mesmo os que não processam dados sensíveis. Isso inclui evitar conteúdo misto, em que alguns recursos são carregados por HTTP mesmo quando a solicitação inicial é atendida por HTTPS. O HTTPS evita que invasores adulterem ou detectem passivamente as comunicações entre o aplicativo e os usuários, além de ser um pré-requisito para HTTP/2 e muitas novas APIs de plataforma da Web.
Para saber mais sobre por que todos os sites precisam ser protegidos com HTTPS, consulte Por que o HTTPS é importante.
Como a auditoria HTTPS do Lighthouse falha
O Lighthouse sinaliza páginas que não estão em HTTPS:
Como migrar seu site para HTTPS
Considere hospedar seu site em uma CDN. A maioria das CDNs é segura por padrão.
Para saber como ativar o HTTPS nos servidores, consulte Como ativar o HTTPS nos servidores do Google. Se você executa seu próprio servidor e precisa de uma maneira barata e fácil de gerar certificados, o Let's Encrypt (em inglês) é uma boa opção.
Se a página já estiver sendo executada em HTTPS, mas essa auditoria falhar, talvez você tenha problemas com conteúdo misto. Uma página tem conteúdo misto quando a própria página é carregada por HTTPS, mas solicita um recurso desprotegido (HTTP). Confira o documento a seguir no painel "Security" do Chrome DevTools para saber como depurar essas situações: Entender os problemas de segurança com o Chrome DevTools.