Sempre proteja todos os seus sites com HTTPS, mesmo que eles não lidem com comunicações confidenciais. Além de fornecer segurança e integridade de dados críticas para seus sites e para as informações pessoais dos usuários, o HTTPS é necessário para muitos novos recursos do navegador, especialmente aqueles exigidos para Progressive Web Apps.
O HTTPS protege a integridade do seu site
O HTTPS ajuda a evitar que intrusos adulterem a comunicação entre seus sites e os navegadores dos usuários. Os intrusos incluem invasores intencionalmente maliciosos e empresas legítimas, mas intrusivas, como ISPs que injetam anúncios nas páginas.
Os intrusos exploram comunicações desprotegidas para induzir seus usuários a fornecer informações confidenciais ou instalar malware ou a inserir seus próprios recursos. Por exemplo, alguns terceiros injetam anúncios que podem prejudicar a experiência do usuário e criar vulnerabilidades de segurança.
Os intrusos exploram todos os recursos desprotegidos em trânsito entre os sites e os usuários. Imagens, cookies, scripts e HTML podem ser explorados. As invasões podem ocorrer em qualquer ponto da rede, incluindo a máquina do usuário, um ponto de acesso Wi-Fi ou um ISP comprometido, entre outros. O HTTPS dificulta o acesso de invasores aos recursos dos sites.
O HTTPS protege a privacidade e a segurança dos usuários
O HTTPS impede que intrusos ouçam passivamente as comunicações entre seus sites e os usuários.
Um equívoco comum sobre o HTTPS é achar que os únicos sites que precisam de HTTPS são os que processam comunicações confidenciais. Na verdade, toda solicitação HTTP desprotegida tem o potencial de revelar informações sobre o comportamento e a identidade dos usuários.
Uma única visita a um dos seus sites desprotegidos pode parecer benigna, mas alguns invasores analisam as atividades de navegação agregadas dos seus usuários para inferir os comportamentos e intenções deles e para tornar anônimos as identidades deles. Por exemplo, os funcionários podem divulgar acidentalmente condições de saúde sensíveis aos empregadores apenas lendo artigos médicos desprotegidos.
O HTTPS é o futuro da Web
Novos recursos avançados da plataforma da Web, como tirar fotos ou gravar áudio
com o getUserMedia()
, permitir experiências off-line de apps com service workers
ou a criação de Progressive Web Apps, exigem permissão explícita do
usuário por HTTPS. Muitas APIs mais antigas também estão sendo atualizadas para exigir permissão para serem executadas, como a API Geolocation. O HTTPS é um componente essencial dos
fluxos de trabalho de permissão para recursos novos e atualizados.