Google Chrome: sites HTTP são perigosos

Durante 2014, o Google fez o seguinte anuncio referente ao Projeto Website Chromium, que:

“Nós, do time de segurança Chrome, propomos que os agentes do utilizador (UEA), mude gradualmente seu UX para exibir origens não seguras como afirmativamente não seguras. Temos a intenção de conceber e iniciar a implantação de um plano de transição para o Chrome em 2015.”

O objetivo desta proposta era mostrar claramente aos usuários que as conexões HTTP não oferece segurança de dados.

Isso sinalizou o fim da linha para sites HTTP não seguros. O Google irá liderar o caminho e começará a exibir mensagens de aviso no navegador durante as sessões de página da Web que interrompem o fluxo de um visitante. Outro ponto importante desta mudança será a queda na classificação nos sites buscadores, sites considerados não seguros serão penalizados. O Google começou este movimento, porém, outros browsers, como Microsoft Internet Explorer e Edge, Apple Safari, Mozilla Firefox, seguirão o mesmo caminho.

O que você precisa fazer para se preparar

Primeiro você precisa entender o que significa o problema com o protocolo HTTP. O principal problema é que todos os dados (incluindo informações confidenciais, como nomes de usuários, senhas e informações de cartão de crédito) são enviados através da internet (entre o servidor web e página web) no formato de texto simples. Isto significa que uma pessoa mal intencionada, pode obter essas informação, ela poderia facilmente interceptar esta informações e usa-las para cometer fraudes e lucrar com isso.

Resumindo, você precisa implantar o HTTPS em todos os sites de sua propriedade.

O que é HTTPS?

O HTTPS é um protocolo seguro que pode ser usado para comunicações através da Internet (entre servidores e páginas web) que usa um sistema de criptografia bi-direcional para garantir que o conteúdo de uma comunicação não seja interceptado e lido por terceiros mal intencionados. Alguns métodos de criptografia incluem TLS (Transport Layer Security) e seu antecessor SSL (Secure Sockets Layer). Atualmente TLS é o formato recomendado para uso.

Hospedagem de site TLS ou SSL?

SSLImage

Muitas empresas de hospedagens estão em transição atualmente. Nos últimos anos, a maioria das empresas de hospedagens aplicaram o SSL em seus servidores, porém a partir de junho de 2016, devido a uma exigência da Indústria de Cartões de Pagamento (PCI), o Padrão de Segurança de Dados, será o método de criptografia TLS. Portanto, as empresas hospedagem estão migrando para o método de criptografia TLS. Se você não souber qual método é usado em seu site (SSL ou TLS) deve contatar a sua empresa de hospedagem.

Como implementar a criptografia TLS

Primeiro, como mencionado acima, você deve verificar com o seu provedor de hospedagem se eles oferecem criptografia TLS. Também tenha em mente, que o seu provedor de hospedagem pode estar em transição e têm ambos os sistemas que funcionando em servidores diferentes. Portanto, verifique se o seu site está em um servidor que usa TLS.

Em seguida, você deve comprar um certificado SSL e carrega-lo no seu servidor web e associa-lo ao nome do seu domínio.

Existem três níveis de validação de domínio que precisam ser considerados ao selecionar um certificado SSL:

Padrão – Certificação de Domínio Validado SSL: oferece o menor nível de validação disponível a partir de autoridades de certificação comerciais.

Premium – Organização de Certificados SSL de Validação: certificados OV incluem por completo os itens de validação da empresa, a partir de uma autoridade de certificação usando processos de habilitação manual.

Validação Extra – Validação Avançada de Certificados SSL: fornece os mais elevados níveis de criptografia, segurança e confiança aos seus clientes, e melhorara as taxas de conversão. Este tipo de certificação é recomendado em todos os sites.

O que você precisa fazer em seu site

Dependendo do método utilizado para o desenvolvimento do seu site, certas atividades deverão ser realizadas para tornar seu site compatível com SSL / TLS. Isso precisa ser avaliado com a empresa de hospedagem.

Como testar seus site para esta norma

Existem muitas ferramentas de testes online grátis disponíveis, tais como High-Tech Bridge. Esta é uma boa ferramenta para um teste rápido, mas para se ter certeza o ideal é realizar o teste com um parceiro PCI. Um vez que as normas estão cumpridas, faça teste periódicos para garantir a segurança dos domínios.

Outra coisa que você precisa saber

Mencionamos no inicio deste artigo que os motores de busca podem penalizar sites que são considerados não-seguro. Para ajudar a proteger a classificação nos motores de busca faça a verificação da lista a abaixo e implante esses dados em seu site:

  • Implemente HTTP Strict Transport Security no cabeçalho de resposta
  • Tag Canonical deve apontar para HTTPS
  • Os códigos nos links precisam ser verificados e apontados para HTTPS
  • Cada arquivo no site (imagens / documentos / CSS / JavaScript) precisa apontar para HTTPS
  • Definir o redirecionamentos 301 de HTTP para HTTPS
  • Atualize o Sitemap para usar o HTTPS e se submeta no Google e Bing Webmaster Tools

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *