Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal

Proteger seu site com HTTPS

Proteger seu site e seus usuários

O que é HTTPS?

O protocolo seguro de transferência de hipertexto (HTTPS, na sigla em inglês) é um protocolo de comunicação da Internet que protege a integridade e a confidencialidade dos dados entre o computador do usuário e o site. Os usuários esperam segurança e privacidade quando usam um website. Recomendamos que você adote o HTTPS para proteger a conexão dos usuários ao seu website, independentemente do conteúdo dele.

Os dados enviados com HTTPS estão protegidos pelo protocolo Segurança de camada de transporte (TLS, na sigla em inglês), que fornece três camadas principais de proteção:

  1. Criptografia. Criptografe os dados trocados para mantê-los a salvo de ataques de eavesdropping. Isso significa que, enquanto o usuário navega em um website, ninguém pode "ouvir" suas conversas, acompanhar suas atividades em várias páginas ou roubar suas informações.
  2. Integridade dos dados. Os dados não podem ser modificados ou corrompidos durante a transferência, intencionalmente ou não, sem serem detectados.
  3. Autenticação. Prova que os usuários se comunicam com o website desejado. Protege contra ataques man-in-the-middle e aumenta a confiança do usuário, o que beneficia os negócios.

Práticas recomendadas para a implementação do HTTPS

Usar certificados de segurança fortes

Você precisa ter um certificado de segurança como parte da ativação do HTTPS no site. O certificado é emitido por uma autoridade de certificação (CA, na sigla em inglês), que realiza um processo para verificar se o endereço da Web pertence realmente à sua organização. Isso protege os clientes de ataques man-in-the-middle. Ao configurar seu certificado, assegure um alto nível de segurança escolhendo uma chave de 2048 bits. Se você já tem um certificado com uma chave mais fraca (1024 bits), faça o upgrade para 2048 bits. Ao escolher o certificado do site, tenha em mente o seguinte:

  • Acesse seu certificado em uma CA confiável que ofereça suporte técnico.
  • Decida qual tipo de certificado é necessário:
    • Certificado único para origem segura única (por exemplo, www.example.com).
    • Certificado de vários domínios para múltiplas origens seguras já conhecidas (por exemplo, www.example.com, cdn.example.com, example.co.uk).
    • Certificado de caracteres curinga para uma origem segura com vários subdomínios dinâmicos (por exemplo, a.example.com, b.example.com).

Usar redirecionamentos 301 de servidor

Redirecione os usuários e os mecanismos de pesquisa à página ou ao recurso HTTPS com redirecionamentos HTTP 301 no servidor.

Verificar se o Google consegue rastrear e indexar as páginas HTTPS

  • Não bloqueie suas páginas HTTPS por meio de arquivos robots.txt.
  • Não inclua metatags noindex nas suas páginas HTTPS.
  • Use o recurso Fetch as Google para testar se o Googlebot consegue acessar suas páginas.

Criar conteúdo compatível com segurança de transporte restrito HTTP (HSTS, na sigla em inglês)

Recomendamos que os sites HTTPS sejam compatíveis com HSTS. Ela faz com que o navegador solicite páginas HTTPS automaticamente, mesmo que o usuário insira http na barra de local do navegador. Além disso, a HSTS solicita que o Google retorne URLs seguros nos resultados da pesquisa. Isso minimiza o risco de exibir conteúdo não seguro aos usuários.

Use um servidor da Web que seja compatível com segurança de transporte restrito HTTP ou HSTS (página indisponível em português) e ative esse recurso.

 A HSTS aumenta a complexidade da sua estratégia de reversão. Recomendamos ativar a HSTS da seguinte forma:

  1. Primeiramente, implemente suas páginas HTTPS sem HSTS.
  2. Comece a enviar cabeçalhos HSTS com um período máximo curto. Monitore o tráfego dos seus usuários e de outros clientes e também do desempenho dos dependentes, como anúncios.
  3. Aumente aos poucos o período máximo da HSTS.
  4. Se a HSTS não tiver efeito negativo nos usuários e nos mecanismos de pesquisa, você poderá pedir que seu site seja adicionado à lista de pré-carregamento de HSTS do Chrome (em inglês).

Considerar o uso do pré-carregamento de HSTS

Se você ativar a HSTS, terá a opção de ativar a compatibilidade com pré-carregamento de HSTS (em inglês) e aumentar sua segurança. Para ativar esse recurso, acesse hstspreload.org e siga os requisitos de inscrição para seu site.

includeSubDomains

O pré-carregamento de HSTS exige que você defina a diretiva includeSubDomains no cabeçalho HSTS. A correspondência de subdomínio funciona da seguinte maneira: se o site www.example.com veicular um cabeçalho HSTS com includeSubdomains, estes serão os domínios correspondentes:

Configuração includeSubDomains = verdadeira para o site www.example.com
URL Permitido?
www.example.com Correspondência
foo.www.example.com Correspondência
example.com Nenhuma correspondência
foo.example.com Nenhuma correspondência

Evitar erros comuns

Durante o processo de tornar seu site seguro com TLS, evite os seguintes erros:

Problema Ação
Certificados expirados Sempre verifique se o certificado está atualizado.
Certificado registrado em um nome de website incorreto Verifique se você registrou o certificado para o nome do host correto. Por exemplo, se você registrar o certificado para www.example.com e o website estiver configurado para usar example.com, você terá um erro de incompatibilidade de nome do certificado.
Suporte para Indicação do nome do servidor (SNI, na sigla em inglês) ausente Verifique se o servidor da Web oferece suporte a SNI e se o público utiliza navegadores compatíveis, em geral. Embora o SNI seja compatível com todos os navegadores modernos, será necessário ter um IP dedicado se você precisar de suporte para navegadores antigos.
Problemas de rastreamento Não impeça o rastreamento do site HTTPS usando robots.txt.
Problemas de indexação Permita a indexação das suas páginas por mecanismos de pesquisa sempre que possível. Evite a metatag noindex.
Versões antigas do protocolo Versões antigas do protocolo são vulneráveis. É preciso usar as versões mais novas e recentes das bibliotecas TLS e implementar as últimas versões do protocolo.
Elementos de segurança mistos Somente incorpore conteúdo HTTPS em páginas HTTPS.
Conteúdo diferente em HTTP e em HTTPS Certifique-se de que o conteúdo do site em HTTP e em HTTPS é o mesmo.
Erros de código de status HTTP no HTTPS Verifique se o website retorna o código de status HTTP correto. Por exemplo, 200 OK para páginas acessíveis ou 404 ou 410 para páginas que não existem.

Mais dicas

Consulte as Perguntas frequentes sobre migração para HTTPS e veja mais dicas sobre como usar páginas HTTPS no seu site.

Migrar de HTTP para HTTPS

Se você migrar seu site de HTTP para HTTPS, o Google tratará isso como uma mudança de site com alteração de URL. Isso poderá afetar temporariamente algumas das suas estatísticas de tráfego. Consulte a página da visão geral de mudanças de site para saber mais.

Adicione a propriedade HTTPS ao Search Console. Ele lida com o HTTP e o HTTPS separadamente, e os dados dessas propriedades não são compartilhados no Search Console. Por isso, se você tiver páginas em ambos os protocolos, precisará ter uma propriedade separada no Search Console para cada um deles.

Mais informações

Mais detalhes sobre a implementação de TLS no seu site:

Este artigo foi útil para você?
Como podemos melhorá-lo?