Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
true

Proteger seu site com HTTPS

Proteger seu site e seus usuários

O que é HTTPS?

O protocolo seguro de transferência de hipertexto (HTTPS, na sigla em inglês) é um protocolo de comunicação da Internet que protege a integridade e a confidencialidade dos dados entre o computador do usuário e o site. Os usuários esperam segurança e privacidade quando usam um site. Recomendamos que você adote o HTTPS para proteger a conexão dos usuários ao seu site, independentemente do conteúdo dele.

Os dados enviados com HTTPS estão protegidos pelo protocolo Transport Layer Security (TLS), que fornece três camadas principais de proteção:

  1. Criptografia. Os dados enviados e recebidos são criptografados para protegê-los de intrusos. Isso significa que, enquanto o usuário navega em um site, ninguém pode "ouvir" as conversas, acompanhar as atividades em várias páginas nem roubar as informações dele.
  2. Integridade dos dados. Não é possível modificar nem corromper os dados durante a transferência (intencionalmente ou não) sem que isso seja detectado.
  3. Autenticação. Prova que os usuários estão se comunicando com o site certo. Protege contra ataques man-in-the-middle e aumenta a confiança do usuário, o que beneficia os negócios.

Práticas recomendadas para a implementação do HTTPS

Usar certificados de segurança confiáveis

Você precisa ter um certificado de segurança como parte da ativação do HTTPS no site. O certificado é emitido por uma autoridade de certificação (CA, na sigla em inglês), que realiza um processo para verificar se o endereço da Web pertence realmente à sua organização. Isso protege os clientes de ataques man-in-the-middle. Ao configurar seu certificado, use uma chave de 2048 bits para garantir um alto nível de segurança. Se você já tiver um certificado com uma chave mais fraca (1024 bits), faça o upgrade para 2048 bits. Ao escolher o certificado do site, tenha em mente o seguinte:

  • Procure um certificado de uma CA confiável que ofereça suporte técnico.
  • Decida qual tipo de certificado é necessário:
    • Certificado único para origem segura única (por exemplo, www.example.com).
    • Certificado de vários domínios para múltiplas origens seguras já conhecidas (por exemplo, www.example.com, cdn.example.com, example.co.uk).
    • Certificado de caracteres curinga para uma origem segura com vários subdomínios dinâmicos (por exemplo, a.example.com, b.example.com).

Usar redirecionamentos 301 de servidor

Redirecione os usuários e os mecanismos de pesquisa à página ou ao recurso HTTPS com redirecionamentos HTTP 301 no servidor.

Verificar se o Google consegue rastrear e indexar as páginas HTTPS

  • Não bloqueie suas páginas HTTPS por meio de arquivos robots.txt.
  • Não inclua metatags noindex nas suas páginas HTTPS.
  • Use o recurso Fetch as Google para testar se o Googlebot consegue acessar suas páginas.

Criar conteúdo compatível com segurança de transporte restrito HTTP (HSTS, na sigla em inglês)

Recomendamos que os sites HTTPS sejam compatíveis com HSTS ou segurança de transporte restrito HTTP (em inglês). A HSTS faz com que o navegador solicite páginas HTTPS automaticamente, mesmo que o usuário insira http na barra de local do navegador. Além disso, a HSTS solicita que o Google retorne URLs seguros nos resultados da pesquisa. Isso minimiza o risco de exibir conteúdo não seguro aos usuários.

Use um servidor da Web que seja compatível com HSTS e ative esse recurso.

Embora seja mais segura, a HSTS aumenta a complexidade da sua estratégia de rollback. Recomendamos ativar a HSTS da seguinte forma:

  1. Primeiramente, implemente suas páginas HTTPS sem HSTS.
  2. Comece a enviar cabeçalhos HSTS com um período máximo curto. Monitore o tráfego dos seus usuários e de outros clientes e também do desempenho dos dependentes, como anúncios.
  3. Aumente aos poucos o período máximo da HSTS.
  4. Se o uso da HSTS não tiver efeito negativo nos usuários e nos mecanismos de pesquisa, solicite que seu site seja adicionado à lista de pré-carregamento de HSTS usada pela maioria dos principais navegadores.

Considerar o uso do pré-carregamento de HSTS

Se você ativar a HSTS, terá a opção de ativar a compatibilidade com pré-carregamento de HSTS e aumentar sua segurança. Para ativar o pré-carregamento, acesse hstspreload.org e siga os requisitos de inscrição para seu site (em inglês).

Evitar erros comuns

Durante o processo de tornar seu site seguro com TLS, evite os seguintes erros:

Problema Ação
Certificados expirados Sempre verifique se o certificado está atualizado.
Certificado registrado em um nome de site incorreto Verifique se você tem os certificados de todos os nomes de host que seu site atende. Por exemplo, se o certificado corresponder somente a www.example.com, um visitante que carregar seu site usando só example.com (sem o prefixo "www.") será bloqueado por um erro de incompatibilidade de nome de certificado.
Incompatibilidade com Indicação do nome do servidor (SNI, na sigla em inglês) Verifique se o servidor da Web oferece suporte a SNI e se o público utiliza navegadores compatíveis, em geral. Embora o SNI seja compatível com todos os navegadores modernos, será necessário ter um IP dedicado se você precisar de suporte para navegadores antigos.
Problemas de rastreamento Não impeça o rastreamento do site HTTPS usando robots.txt.
Problemas de indexação Permita a indexação das suas páginas por mecanismos de pesquisa sempre que possível. Evite a metatag noindex.
Versões antigas do protocolo Versões antigas do protocolo são vulneráveis. É preciso usar as versões mais novas e recentes das bibliotecas TLS e implementar as últimas versões do protocolo.
Elementos de segurança mistos Incorpore somente conteúdo HTTPS em páginas HTTPS.
Conteúdo diferente em HTTP e em HTTPS Certifique-se de que o conteúdo do site em HTTP e em HTTPS é o mesmo.
Erros de código de status HTTP no HTTPS Verifique se o site retorna o código de status HTTP correto. Por exemplo, 200 OK para páginas acessíveis ou 404 ou 410 para páginas que não existem.

Mais dicas

Consulte as Perguntas frequentes sobre migração para HTTPS e veja mais dicas sobre como usar páginas HTTPS no seu site.

Migrar de HTTP para HTTPS

Se você migrar seu site de HTTP para HTTPS, o Google tratará isso como uma mudança de site com alteração de URL. Isso poderá afetar temporariamente algumas das suas estatísticas de tráfego. Consulte a página da visão geral de mudanças de site para saber mais.

Adicione a propriedade HTTPS ao Search Console. Ele lida com o HTTP e o HTTPS separadamente, e os dados dessas propriedades não são compartilhados no Search Console. Por isso, se você tiver páginas em ambos os protocolos, precisará ter uma propriedade separada no Search Console para cada um deles.

Mais informações

Mais detalhes sobre a implementação de TLS no seu site:

Este artigo foi útil para você?
Como podemos melhorá-lo?