A Google vem fechando o cerco contra os sites HTTP. Visando tornar a internet mais segura, a empresa tem promovido diversas mudanças nos seus produtos nos últimos anos. O objetivo: fazer com que todos os sites migrem para o protocolo HTTPS. Algumas das mudanças mais importantes vêm sendo feitas no Chrome, navegador da Google.
Para quem ainda não está familiarizado com o termo, HTTP é um protocolo de navegação na internet. De forma bem simplificada, o protocolo é necessário para que possamos navegar por sites e páginas. Apesar de ter sido popular durante muito tempo, o HTTP é considerado inseguro e por isso vem dando lugar ao HTTPS. Por contar com a criptografia, o protocolo HTTPS traz segurança ao proteger a troca de informações entre o usuário e o site, evitando a interceptação por terceiros.
As mudanças esperadas no Chrome certamente terão efeito na adoção do HTTPS, uma vez que o navegador é líder no mundo, com mais da metade do mercado. No Brasil a popularidade do navegador é ainda maior, de pelo menos 80% do mercado, segundo levantamento do Statcounter.
Embora estejam sendo feitas de forma gradual, cada nova atualização do Chrome deve tornar mais visível o aviso de insegurança em sites que utilizam o HTTP. E ainda que não haja uma data para término do projeto, a empresa já divulgou um cronograma de atualizações programadas para 2018. Não é pouca coisa, viu?
Se você quer ficar por dentro do assunto e evitar surpresas no futuro, confira o que já foi feito e o que esperar do Chrome no tratamento dos sites HTTP e HTTPS.
2017: atualizações no Chrome afetaram apenas páginas HTTP com campos de formulário
Em 2017 foram feitas as primeiras atualizações no Chrome com o objetivo de identificar para os usuários quais sites utilizavam o protocolo HTTP, e por isso eram considerados inseguros. Esta etapa foi bem tranquila e afetou, na maioria, sites que coletavam algum tipo de dado sensível do usuário.
Na primeira fase, em janeiro, o Chrome 56 foi lançado e passou a marcar como “não seguro” apenas as URLs de páginas contendo um campo de senha ou em que houvesse interação do usuário com um campo de cartão de crédito.
Em outubro do mesmo ano, o Chrome recebeu mais uma atualização desse tipo. Desta vez, o navegador passou a exibir a mensagem de “não seguro” em todas as páginas em que houvesse interação do usuário com qualquer campo. Isso incluiu páginas com formulários de contato, cadastro de e-mail para envio de newsletter, e muitas outras bem comuns à maioria dos sites. Além disso, o navegador passou a exibir o mesmo aviso também em navegações anônimas.
Julho de 2018: atualização afeta todas as páginas HTTP
Se em 2017 as mudanças foram bem discretas e afetaram poucos sites HTTP, as atualizações de 2018 afetam todos os sites que não aderirem ao protocolo seguro de navegação (HTTPS).
No dia 24 de julho, uma nova atualização do Chrome (68) será publicada e nela todas as páginas HTTP serão marcadas como “não seguras”. Seja uma página institucional, um post em um blog, não importa, todas as URLs que usam HTTP terão o aviso de “não seguro”.
Essa mudança é uma das mais significativas, uma vez que o navegador passa a mostrar aos usuários, de forma bem clara, que sites HTTP não são seguros. Isso deve impactar negativamente os sites sem HTTPS, que terão uma rejeição maior de seus visitantes.
Este motivo deve ser suficiente para fazer a maioria das plataformas e sites mudarem de vez para o HTTPS. No entanto, se você ainda não ficou convencido, veja o que esperar nas atualizações seguintes do Chrome.
Setembro de 2018: Chrome traz mudança apenas em sites HTTPS
Em setembro de 2018, no Chrome 69, a mudança será sutil e não afetará os sites HTTP. Na verdade, apenas os sites HTTPS serão impactados, com a mudança do aviso de “seguro” por algo mais neutro. A cor verde será removida e o termo “seguro” também. Apenas o cadeado será mantido, e mesmo assim, talvez futuramente também seja removido, como mostra a imagem abaixo, do próprio Google.
Apesar de em um primeiro momento causar estranheza, a mudança é pertinente, uma vez que no futuro o HTTPS será o protocolo padrão. Sendo assim, quando chegar esse momento, não haverá a necessidade de marcar os sites seguros. Será mais importante destacar aqueles que não são seguros, o que nos leva a última atualização do Chrome em 2018.
Outubro de 2018: atualização intensifica aviso de não seguro no Chrome
A versão 70 do Chrome, com lançamento previsto para outubro, promete incomodar mais ainda os sites HTTP. Nesta fase, todas as páginas HTTP mostrarão o aviso de “não seguro” na cor vermelha e com um ícone de alerta, em vez do atual (i), caso o usuário interaja com algum campo, como mostra a animação abaixo.
Esta mudança será um alerta (literalmente!) para os sites que ainda insistirem no uso do HTTP, e terá desdobramentos futuros, como veremos a seguir.
Futuras atualizações no aviso de site “não seguro” do Chrome
Embora ainda não haja uma data para isso acontecer, o Chrome futuramente deverá exibir este aviso vermelho de “não seguro” em todas as páginas HTTP, e não apenas as que possuem algum campo. O mesmo tratamento será dado às páginas com HTTPS “quebrado”, problema comum em sites que ainda possuem URLs com HTTP ou que estão com o certificado SSL expirado.
HTTPS já é fator de ranqueamento no Google desde 2014
Apesar das atualizações serem realizadas no Chrome desde 2017, a iniciativa da Google começou anos antes, no seu popular mecanismo de busca.
Parece que faz pouco tempo, mas em 2014 o Google já se esforçava para aumentar a adesão no uso do HTTPS. Neste post publicado em agosto de 2014, a empresa informa que o uso do HTTPS passava a ser considerado um fator de ranqueamento nos seus resultados de pesquisa. Ou seja, sites que usassem o HTTPS teriam mais chances de aparecer em melhores posições nas buscas feitas no Google.
Naturalmente, o HTTPS não garante que um site irá aparecer nas primeiras posições do Google, mas este pode ser o fator de desempate entre um site e o seu concorrente, por exemplo. No final das contas, o que importa é que um site HTTP dificilmente terá destaque nas pesquisas do buscador.
Algumas extensões de domínio só funcionam com HTTPS
Um movimento mais recente, também na direção da segurança na internet, aconteceu com os domínios da Google Registry, braço da empresa responsável por gerenciar os registros de algumas terminações especiais. Extensões de domínios como o .dev e o .app, já são seguros por padrão.
Essas extensões estão em uma lista (pré-instalada de HSTS) que obriga que todas as conexões a sites com esses domínios sejam feitas pelo protocolo HTTPS. Essa lista vem embutida nas versões atuais dos principais navegadores, como Chrome, Firefox, Safari, Edge e Opera. Em outras palavras, para usar um domínio desse tipo, o site precisa rodar em HTTPS.
Como evitar o aviso de site “não seguro” do Chrome?
Como podemos ver, sites HTTP serão cada vez mais impactados negativamente pelo principal navegador do mundo, o Chrome. A única maneira de evitar esse problema é mudando seu site para o protocolo HTTPS.
Para que isso seja feito é preciso ter um certificado SSL no seu site. É ele quem irá permitir que o seu site rode sob o protocolo HTTPS. Agora, o modo para fazer isso mudará conforme a plataforma onde estiver seu site. Veja abaixo as principais situações:
Criadores de sites como Wix, WordPress.com e outros
Na maioria dessas ferramentas não é necessário fazer nada, pois o HTTPS quase sempre vem por padrão. No entanto, recomendo que verifique no seu site se ele está marcado como “seguro” ou “não seguro”. Em alguns casos, como o Blogger, é preciso fazer uma pequena configuração para que ele rode no HTTPS.
Caso seu criador de site não ofereça o certificado SSL, avalie a possibilidade de trocar de ferramenta. Como você pode ver, em breve não haverá mais espaço para sites em HTTP, por serem considerados inseguros. Uma ferramenta que não ofereça SSL já está ultrapassada.
Ferramentas como WordPress e outras, que usam serviço de hospedagem
Caso seu site esteja em uma empresa de hospedagem, você precisará instalar um certificado SSL no servidor. Neste caso, verifique quais opções de certificado SSL a empresa oferece, além das opções pagas.
Muitas possuem integração com o Let’s Encrypt, que é um certificado SSL gratuito e muito popular, com mais de 50 milhões de certificados ativos em todo o mundo. Já outras empresas oferecem seu próprio SSL gratuito, em parceria com instituições que vendem certificados, como a Comodo, por exemplo.
Se a sua hospedagem não oferece e nem pretende disponibilizar um certificado SSL gratuito, pode ser o momento para migrar de hospedagem. Várias empresas oferecem um serviço de migração gratuita para novos clientes.
Depois de instalar o certificado, será preciso configurar o SSL no site, para que todas as URLs do site carreguem apenas no HTTPS. Caso você tenha um site WordPress, temos este tutorial ensinando todos passos para fazer essa configuração de SSL no WordPress.
Então, preparado para tornar o seu site mais seguro? Caso queira se aprofundar no assunto, confira nossos artigos relacionados abaixo. Precisando de alguma ajuda, basta deixar um comentário! 🙂
Excelente artigo, esclareceu minhas duvidas.
Obrigado ! 🙂
Cofundadora - Tudo Sobre Hospedagem de Sites
Que bom, Renato! Obrigada pelo feedback. 🙂
Ótimo artigo, estava com este problema a algum tempo e não sabia resolver.
Cofundadora - Tudo Sobre Hospedagem de Sites
Que bom, Carlos! Fico feliz em saber. 🙂