Por que HTTPS não quer dizer “site seguro”
Quando você acessa uma página com HTTPS, está diante de um site que possui certificado SSL/TLS. Esse recurso, essencialmente, valida a identidade do site e criptografa as informações que o usuário recebe ou envia ao endereço. Na prática, os visitantes ficam mais protegidos. É por isso que o Google defende veementemente a adoção do recurso. No Chrome, sites protegidos exibem um cadeado seguido da palavra “Seguro” no início da barra de endereços. Dependendo do tipo de certificado, o nome da instituição responsável pelo site aparece no lugar de “Seguro”. Páginas que usam apenas o HTTP, por sua vez, são identificadas com um ‘i’ dentro de um círculo. Clicando nele, você verá um aviso de que aquela página não é segura. Há algum tempo que o Chrome passou a mostrar o aviso “Não seguro” em páginas HTTP que contêm campos para digitação de dados críticos, como senhas e números de cartão de crédito. Mas, com a atualização em andamento, qualquer tipo de informação que o usuário tiver que digitar será tratado como sensível. O alerta, portanto, vai aparecer mais vezes, principalmente em abas anônimas: nelas, a mensagem surgirá mesmo que o usuário não digite nada. Desde abril que o Google fala em implementar essa mudança. Para alertar os administradores que ainda não migraram seus sites de HTTP para HTTPS, o Google Search Console começou a exibir, na semana passada, um aviso sobre o recurso.
Convém mesmo tratar a questão com certa urgência. Além de o aviso “Não seguro” eventualmente espantar usuários, a indexação da página no Google pode ser afetada, pois a tendência é a de que o buscador priorize páginas seguras. Há outro detalhe importante: a companhia já avisou que, em um futuro ainda não definido, passará a exibir a mensagem “Não seguro” em todos os sites sem HTTPS. A boa notícia é que os certificados SSL/TLS estão com preços bastante acessíveis. Dependendo da aplicação, desenvolvedores podem recorrer ao Let’s Encrypt, projeto que fornece certificados gratuitamente. Apesar disso, o número de páginas sem HTTPS deverá permanecer elevado por um bom tempo. O certificado pode até ser barato, mas dependendo da complexidade do site, a sua implementação exige bastante esforço. Só para dar uma ideia simples dos cuidados necessários: o Google não trata uma página HTTP que passou a ser HTTPS como o mesmo endereço, logo, o link anterior (com http:// no começo) deve ser configurado para apontar automaticamente para o link novo (com https://). Se isso não for feito, a indexação no buscador poderá ser seriamente prejudicada. Com informações: Wired