SIM Seu site precisa de HTTPS.

"Mas meu site não possui formulários nem coleta informações dos usuários"

Não importa. HTTPS protege mais do que dados de formulário! HTTPS mantém URLs, headers, e o conteúdo de todas as páginas transmitidas confidencial.

"Não há informação sigilosa no meu site"

Não é por que seu site está hospedado em um lugar seguro que significa que ele não vai viajar por cabos e switches controlados por sabe-se-lá quantas entidades corporativas/estatais. Você realmente quer alguém injetando scripts, imagens ou propaganda em suas páginas? Ou usar seu site para atacar outros sites? Isso acontece: em linhas aéreas(um monte, sério), na China, e até os provedores de internet fazem isso (um monte). E HTTPS previne tudo isso. Ele garante integridade de dados e a habilidade de detectar adulteração. Se nós encriptássemos apenas conteúdo sigiloso, então pintaríamos um alvo nessas transmissões. Esconda quais transmissões possuem segredos encriptando todas as transmissões.

"O site é HTTP, mas nossos formulários são enviados via HTTPS."

Isso é tão ruim quanto não usar HTTPS para início de conversa! Tudo que o invasor teria que fazer é alterar o link ou form action para uma URL em seu próprio servidor. Não há maneiras de detectar isso pois a transmissão ocorreria em HTTP. Encripte TODO o site e redirecione HTTP para HTTPS.

"Eu não posso comprar um certificado."

Eles são de graça.

"HTTPS é difícil de configurar e de manter."

Ele funciona muito bem se você usar Caddy como seu web server. Sim, incluindo renovação de certificados. Mas não é obrigatório. Se não usares o Caddy, HTTPS ainda pode ser automatizado utilizando um cliente Let’s Encrypt de sua escolha.

"Invasores ainda podem impersonar meu site mesmo eu usando HTTPS"

Eles podem tentar, mas enquanto suas chaves privadas continuarem privadas, navegadores irão mostrar alertas se o invasor fornecer certificados diferentes ou certificados TLS inválidos. E se o invasor nem usar HTTPS, os navegadores devem marcar a página do impostor como insegura. Assim, o HTTPS garante autenticidade.

"Certificados Domain-Validated(Domínio Validado) não são seguros"

Sim eles são. Só não perca o controle sobre o seu DNS e escolha uma autoridade certificadora competente (ao invés de menos competentes ou problemáticas). Não há absolutamente nenhuma diferença na criptografia de um certificado DV comparado ao certificado Extended Validation(Validação Extendida).

"Mas as autoridades certificadoras podem fazer mau uso do meu site ."

Olhe, essa discussão não é sobre o sistema ICP(PKI). É o melhor sistema que temos no momento. Lide com isso e proteja seu site. Use Autorização da Autoridade Certificadora (CAA) para restringir quais autoridades podem emitir certificados para seu site, então cruze os dedos e espere que a transparência e fiscalização funcionem (funcionou até agora).

"HTTPS não esconde o tamanho do conteúdo, vazando pistas para invasores."

TLS 1.3 e HTTP/2 possuem padding frames para inflar o tamanho da cifra.

"HTTPS não esconde o DNS lookup."

É claro que não. DNS != HTTP. Mas isso é realmente um argumento válido para não encriptar a conexão entre seu site e seus visitantes?? (Dica: não.)

"HTTPS é lento."

Não, não é. Sites com servidores modernos são mais rápidos com HTTPS do que HTTP por causa do HTTP/2.

"Sites de phishing usam HTTPS."

... então você não vai?

"Nosso site mostra ads por HTTP."

Desculpe, só que não. Não muda o fato de que seu site ainda precisa de HTTPS. Sevir seu site com HTTPS com ads ainda carregando via HTTP vai causar alertas de conteúdo misto, então melhor achar um jeito de dispensar aquela agência de propaganda cujo contrato parecia muito atrativo quando você assinou pela primeira vez, ou convencer sua agência a usar HTTPS antes que você.

"Funciona normalmente via HTTP"

Era isso que a Oil and Gas Internacional pensava também. Isso até os navegadores começarem a mostrar páginas HTTP como inseguras.

"Mas proxies TLS quebram as garantias do HTTPS."

Apenas se o computador do usuário final for modificado para confiar no proxy TLS. Isso requer privilégios administrativos (root), então o dono do computador deve permitir isso. Além do mais, intercepção de HTTPS geralmente pode ser detectada por web servers.

"Pelo menos eu ainda posso servir meu site tanto via HTTP quando HTTPS."

A única razão que você deve abrir a porta 80 no seu servidor é para redirecionar todas as requisições para a porta 443 e então fechar a conexão na porta 80. (Talvez algum dia poderemos eliminar a porta 80 totalmente.)

"Meu site é apenas acessado internamente ou via VPN."

O quanto você confia na corporação ou estado que controla a infraestrutura? E nas empresas que produziram o hardware que faz parte de sua rede? E no provedor de VPN?

"Nós só temos senhas em hashes."

Muito bom. Agora me diga que você está coletando as senhas via HTTPS… está, né?

"HTTPS impacta no SEO."

Você está certo—HTTPS melhora o SEO! Trocar URLs do site de forma errada pode impactar nos rankings de pesquisas, mas HTTPS na verdade melhora-os. Apenas faça a troca de acordo com o motor de busca para o qual estás otimizando, e tudo vai funcionar normalmente, apenas com alguns efeitos colaterais temporários, no máximo.

"É trabalho do navegador manter o usuário seguro."

É uma meia verdade. Não é APENAS trabalho do navegador. Navegadores podem deixar o usuário seguro contando que o servirdor providencie credenciais via certificado HTTPS. Como o dono do site, é sua responsabilidade providenciar essas credenciais para seus clientes.

— COMO EMBARCAR NO HTTPS —

O jeito mais fácil é pelo Let’s Encrypt e o servidor web Caddy, que habilita HTTPS para todos os seus sites automaticamente. Você ainda pode utilizar um simples script do client Let’s Encrypt chamado lego, que roda em todas as plataformas.

Se você prefere um pouco mais de configuração e integrações com servidores web mais tradicionais, o cliente Certbot, da EFF, vai servir bem.

Há muitas outras formas de ter seu site em HTTPS sem muito esforço. Das Surma tem um guia para vários web servers diferentes, e CDNs como o Cloudflare podem fazer seu site estar disponível via HTTPS com taxas mínimas (ou nenhuma).

© 2017 meusiteprecisadehttps.com.br. Todos os direitos reservados.

Tradução feita com permissão do autor

Hospedado no Github Pages