Durante 2014, o Google fez o seguinte anuncio referente ao Projeto Website Chromium, que:
“Nós, do time de segurança Chrome, propomos que os agentes do utilizador (UEA), mude gradualmente seu UX para exibir origens não seguras como afirmativamente não seguras. Temos a intenção de conceber e iniciar a implantação de um plano de transição para o Chrome em 2015.”
O objetivo desta proposta era mostrar claramente aos usuários que as conexões HTTP não oferece segurança de dados.
Isso sinalizou o fim da linha para sites HTTP não seguros. O Google irá liderar o caminho e começará a exibir mensagens de aviso no navegador durante as sessões de página da Web que interrompem o fluxo de um visitante. Outro ponto importante desta mudança será a queda na classificação nos sites buscadores, sites considerados não seguros serão penalizados. O Google começou este movimento, porém, outros browsers, como Microsoft Internet Explorer e Edge, Apple Safari, Mozilla Firefox, seguirão o mesmo caminho.
O que você precisa fazer para se preparar
Primeiro você precisa entender o que significa o problema com o protocolo HTTP. O principal problema é que todos os dados (incluindo informações confidenciais, como nomes de usuários, senhas e informações de cartão de crédito) são enviados através da internet (entre o servidor web e página web) no formato de texto simples. Isto significa que uma pessoa mal intencionada, pode obter essas informação, ela poderia facilmente interceptar esta informações e usa-las para cometer fraudes e lucrar com isso.
Resumindo, você precisa implantar o HTTPS em todos os sites de sua propriedade.
O que é HTTPS?
O HTTPS é um protocolo seguro que pode ser usado para comunicações através da Internet (entre servidores e páginas web) que usa um sistema de criptografia bi-direcional para garantir que o conteúdo de uma comunicação não seja interceptado e lido por terceiros mal intencionados. Alguns métodos de criptografia incluem TLS (Transport Layer Security) e seu antecessor SSL (Secure Sockets Layer). Atualmente TLS é o formato recomendado para uso.
Hospedagem de site TLS ou SSL?
Muitas empresas de hospedagens estão em transição atualmente. Nos últimos anos, a maioria das empresas de hospedagens aplicaram o SSL em seus servidores, porém a partir de junho de 2016, devido a uma exigência da Indústria de Cartões de Pagamento (PCI), o Padrão de Segurança de Dados, será o método de criptografia TLS. Portanto, as empresas hospedagem estão migrando para o método de criptografia TLS. Se você não souber qual método é usado em seu site (SSL ou TLS) deve contatar a sua empresa de hospedagem.
Como implementar a criptografia TLS
Primeiro, como mencionado acima, você deve verificar com o seu provedor de hospedagem se eles oferecem criptografia TLS. Também tenha em mente, que o seu provedor de hospedagem pode estar em transição e têm ambos os sistemas que funcionando em servidores diferentes. Portanto, verifique se o seu site está em um servidor que usa TLS.
Em seguida, você deve comprar um certificado SSL e carrega-lo no seu servidor web e associa-lo ao nome do seu domínio.
Existem três níveis de validação de domínio que precisam ser considerados ao selecionar um certificado SSL:
Padrão – Certificação de Domínio Validado SSL: oferece o menor nível de validação disponível a partir de autoridades de certificação comerciais.
Premium – Organização de Certificados SSL de Validação: certificados OV incluem por completo os itens de validação da empresa, a partir de uma autoridade de certificação usando processos de habilitação manual.
Validação Extra – Validação Avançada de Certificados SSL: fornece os mais elevados níveis de criptografia, segurança e confiança aos seus clientes, e melhorara as taxas de conversão. Este tipo de certificação é recomendado em todos os sites.
O que você precisa fazer em seu site
Dependendo do método utilizado para o desenvolvimento do seu site, certas atividades deverão ser realizadas para tornar seu site compatível com SSL / TLS. Isso precisa ser avaliado com a empresa de hospedagem.
Como testar seus site para esta norma
Existem muitas ferramentas de testes online grátis disponíveis, tais como High-Tech Bridge. Esta é uma boa ferramenta para um teste rápido, mas para se ter certeza o ideal é realizar o teste com um parceiro PCI. Um vez que as normas estão cumpridas, faça teste periódicos para garantir a segurança dos domínios.
Outra coisa que você precisa saber
Mencionamos no inicio deste artigo que os motores de busca podem penalizar sites que são considerados não-seguro. Para ajudar a proteger a classificação nos motores de busca faça a verificação da lista a abaixo e implante esses dados em seu site:
- Implemente HTTP Strict Transport Security no cabeçalho de resposta
- Tag Canonical deve apontar para HTTPS
- Os códigos nos links precisam ser verificados e apontados para HTTPS
- Cada arquivo no site (imagens / documentos / CSS / JavaScript) precisa apontar para HTTPS
- Definir o redirecionamentos 301 de HTTP para HTTPS
- Atualize o Sitemap para usar o HTTPS e se submeta no Google e Bing Webmaster Tools