Para entender a necessidade de mudar para HTTPS, primeiro é necessário entender a diferença entre HTTP e HTTPS padrão.
HTTP significa protocolo de transferência de hipertexto, um protocolo que define como as informações são trocadas entre um cliente (navegador) e um servidor web. Toda vez que um usuário se conecta a um site, o navegador do usuário envia uma solicitação ao servidor que informa ao servidor o que está sendo solicitado. O servidor processa a solicitação e retorna o recurso solicitado ou executa outra ação, como gerar uma mensagem de erro ‘não encontrada’.
Usando HTTP padrão, nem a solicitação nem a resposta são criptografadas de nenhuma maneira. Isso torna o protocolo vulnerável a hackers. Um terceiro pode interceptar as comunicações em qualquer direção e pode modificar o que é solicitado e o que é retornado.
O S em HTTPS significa ‘seguro’. Quando esse protocolo é usado, as comunicações são criptografadas antes da transmissão em cada direção por meio de um Certificado Digital X.509. Isso aumenta muito a segurança das comunicações entre um site e seus visitantes.
Como funciona?
Para implementar HTTPS, os proprietários de sites devem adquirir um Certificado Digital. Esses certificados podem ser comprados de empresas de hospedagem na Web e de outros sites de vendas confiáveis (por navegadores). Fornecedores confiáveis de Certificados Digitais incluem Geotrust, Godaddy e Verisign.
Existem também opções gratuitas. Let’s Encrypt é uma opção de código aberto apoiada por empresas como o Google e o Mozilla.
Os certificados comprados são normalmente válidos por um ano e devem ser renovados anualmente, a um custo, para continuarem a usá-los. Vamos criptografar também deve ser renovado, mas a renovação é gratuita.
Uma vez adquirido, o certificado é instalado no servidor da web. Quando estiver no lugar, você pode usar o protocolo HTTPS.
Com um certificado de segurança ativado, as páginas da Web e os recursos retornados mostrarão o endereço da Web que começa com HTTPS. Por exemplo, se mydomain.com usar o protocolo HTTP, todos os endereços de páginas da web começarão com http: // na barra de endereço. Se o proprietário de mydomain.com adquirir e implementar um certificado digital, os endereços de páginas da web seguras começarão com https: //.
Por que ser seguro é importante?
Um site pode solicitar que os visitantes digitem seus endereços de e-mail, geralmente por meio de um formulário de contato, por exemplo. Quando os visitantes pressionam os botões ENVIAR ou ENTRAR, os endereços de e-mail são enviados para o site. Se o HTTP estiver sendo usado, os endereços de e-mail serão enviados em texto simples. Se a comunicação estiver comprometida, os dados de e-mail podem cair nas mãos de terceiros.
Assim como os endereços de e-mail podem ser interceptados, qualquer outro dado pode cair nas mãos erradas. Isso pode incluir informações pessoais confidenciais. Se um site não seguro processa detalhes de pagamento, informações de cartão de crédito podem ser interceptadas com consequências muito graves. A criptografia torna quase impossível que terceiros extraiam informações confidenciais de usuários ou servidores da web.
E se o meu site não coletar dados?
Ainda é aconselhável mudar para o uso de HTTPS, porque esse protocolo provavelmente se tornará o novo padrão. Muitos usuários da Web não têm uma compreensão clara das implicações de segurança ao usar a Internet. Esses usuários se sentirão mais felizes usando sites que exibem o ícone de cadeado verde exibido quando o HTTPS é usado.
Sites inseguros estão abertos a muitos tipos diferentes de adulteração. Por exemplo, você pode ter recursos pay-per-click em suas páginas da web. Usuários mal-intencionados ou programas de software podem substituir seus dados de referência por seus próprios, desviando seus ganhos para a conta deles. Outra vulnerabilidade é que os links em seu website podem ser modificados para enviar usuários para outro lugar.
Você também deve ter em mente que o Chrome e o Firefox exibem uma mensagem de aviso informando que o site não é seguro quando os usuários inserem determinados tipos de dados em sites ou páginas da Web que usam HTTP. Isso pode assustar alguns usuários a deixar o site imediatamente. É provável que outros navegadores adotem uma política semelhante no futuro.
Os mecanismos de pesquisa podem fornecer classificações mais baixas para sites não protegidos. O Google já avisou que prefere mostrar sites seguros sempre que possível. Se você fizer alguma pesquisa no Google, veja os endereços da web nos resultados da primeira página. Você verá que a maioria começa com https: //, indicando que esses sites ou páginas são seguros. Você pode achar difícil encontrar resultados genéricos (não pagos) na primeira página que não sejam seguros. Se você confiar nos resultados de pesquisa orgânica para gerar parte ou todo o seu negócio, precisará torná-lo seguro para garantir que você não fique no ranking dos resultados dos mecanismos de pesquisa.