Recebeste um aviso da Google sobre o teu site estar em HTTP? Eis como resolver

José FreitasSegurança, Websites

Começou há alguns dias. Em concreto no final da semana passada. Muitas pessoas receberam um aviso da Google a indicar que o seu site vai começar a mostrar uma indicação de “Inseguro”.

Será já a partir de Outubro próximo e no navegador Chrome (versão 62), que pertence à Google.

A mensagem da Google enviada aos administradores dos sites é simples:

  • O site em questão não tem um certificado de segurança (SSL), funcionando com o protocolo HTTP;
  • Se até Outubro não implementar um SSL, com a nova versão do Chrome a lançar nessa altura (e que é, por norma, atualizada de forma automática) ao lado do endereço do site irá aparecer a indicação “Inseguro” sempre que houver alguma forma de inserção de conteúdo na página, como um formulário;
  • Para evitar que isso aconteça, deverá migrar para HTTPS, implementando um certificado de segurança.
O aviso da Google sobre o teu site estar ainda em HTTP

O aviso da Google sobre o teu site estar ainda em HTTP

 

Para já serão marcadas as páginas que têm formulários ou outras formas de inserção de texto. Para já. Porque não vai ficar por aqui.

Este é apenas mais um passo da Google num plano de longo prazo que terá continuidade com a marcação de todas as páginas em HTTP como Inseguras.

É muito provável que dentro de meses, e não anos, a Google comece mesmo a apresentar os sites em HTTP como Inseguros nos resultados de pesquisa.

Aliás, o motor de busca já disse considerar a existência de HTTPS num site como factor relevante para a sua classificação nos resultados de pesquisa. Quem tem certificado de segurança recebe mais uns pontos na longa lista de factores que fazem com que um site fique melhor posicionado nas pesquisas.

E quem não gosta de ficar na primeira página do Google?

 

Com HTTP ou com HTTPS no Chrome e no Firefox

Com HTTP ou com HTTPS no Chrome e no Firefox

Como resolver? Migrar para HTTPS

A forma de resolver este problema é simples. Passa por instalar um certificado de segurança e migrar de HTTP para HTTPS.

Em rigor, o HTTPS não é mais que HTTP com SSL.

Numa ligação com HTTP, o utilizador é levado ao servidor através de uma ligação não segura e aberta. Já num site com HTTPS, ao estabelecer uma ligação com o servidor onde esse site se encontra, o utilizador é levado através de uma ligação encriptada, tornando o percurso mais seguro.

As diferenças entre HTTP e HTTPS

As diferenças entre HTTP e HTTPS

 

Como fazer a transição de HTTP para HTTPS já depende do tipo de site e do serviço de alojamento que tiveres.

Como se muda de HTTP para HTTPS?

Há diversos tipos de certificados SSL que se dividem em duas categorias principais: os pagos e os gratuitos.

Para a maior parte dos sites, em particular aqueles que estão em HTTP neste momento, um certificado gratuito é suficiente.

Não custa nada mas também não oferece qualquer seguro.

Se o teu site tiver processamento de pagamentos e guardar dados de meios de pagamento, o caso muda de figura e é recomendável um certificado mais avançado e com seguro. Mas, neste caso, já deves saber isso.

Quando falamos em processamento de pagamentos não estamos a referir sites que vendem produtos e usam sistemas de pagamento de terceiros, como PayPal, Multibanco, Stripe ou outros. Nestes casos o processamento do pagamento é feito por essas entidades.

Entre os certificados comerciais mais avançados há várias possibilidades:

  • Certificados de validação alargada
  • Certificados de organização
  • Certificados de domínio
  • Certificados multidomínio

Estes certificados custam entre algumas dezenas ou milhares de euros por mês, com montantes de seguro variáveis.

Mas este é um domínio que foge do âmbito deste artigo.

Regressemos à base.

Os passos que deves dar para instalar um certificado de segurança

O primeiro passo é saber se o teu serviço de alojamento oferece uma forma de instalar um certificado de segurança gratuito, como o Let’s Encrypt. De preferência, o alojamento deve ainda providenciar para que o SSL seja renovado sempre que necessário, para que não tenhas essa preocupação.

Por norma, os certificados gratuitos têm um período de renovação curto (três meses) em contraponto com os pagos, que envolvem renovação apenas ao fim de um ano.

Por isso, para evitares a maçada de renovar o SSL de 3 em 3 meses será importante que o serviço de alojamento tenha uma forma de proceder à sua renovação automática.

Se o teu serviço de alojamento oferecer Let’s Encrypt ou outro SSL gratuito, tens de proceder à sua instalação, que acontece com dois cliques e, depois, proceder às necessárias actualizações no site.

Se o teu serviço de alojamento oferecer Let’s Encrypt a instalação é fácil

Se o teu serviço de alojamento oferecer Let’s Encrypt a instalação é fácil

 

Aqui tudo depende do sistema de gestão de conteúdos (CMS) que usares no teu site.

Para WordPress, o site oficial da comunidade portuguesa tem um excelente tutorial passo a passo que explica como fazeres.

Passa por:

  • Alterar o URL do site na base de dados usando ferramentas de apoio;
  • Verificar a existência de conteúdos que ainda apareçam em HTTP;
  • Fazer o redirecionamento;

Para outros CMS, terás de procurar informação ou pedir apoio a um programador. Mas, no essencial, os passos são os mesmos ou semelhantes.

Se o teu serviço de alojamento não oferecer um SSL grátis, tens há dois caminhos:

  • Comprar um certificado de segurança (os mais económicos rondam os cerca de 25€ por ano);
  • Mudar para um serviço de alojamento que ofereça o certificado de segurança gratuito.

Normalmente, a instalação do SSL é feita pelo serviço de alojamento, a menos que o teu site esteja num servidor dedicado que tu próprio controlas.

Também aqui, depois de instalado, tens de proceder aos necessários ajustamentos ao site dependentes do teu sistema de gestão de conteúdos.

Conclusão

Podes considerar que este não é o melhor momento e não estás com vontade de mudar de HTTP para HTTPS só para agradar à Google.

Ok. Compreendemos.

No entanto, é apenas uma questão de tempo. Se não for hoje vai ter de ser amanhã. Neste caso, talvez seja melhor faze-lo o mais depressa possível. Quanto mais não seja para reforçar a percepção de credibilidade do teu site.

Na verdade não custa muito (ou é mesmo gratuito) e não é assim tão complicado.

Vai lá mudar o site de HTTP para HTTPS.