Sempre proteja todos os sites com HTTPS, mesmo que não haja comunicações confidenciais. Além de oferecer segurança e integridade de dados essenciais para seus sites e para as informações pessoais dos usuários, o HTTPS é necessário para muitos novos recursos do navegador, especialmente aqueles necessários para apps da Web progressivos.
O HTTPS protege a integridade do seu site
O HTTPS ajuda a impedir que invasores falsifiquem a comunicação entre seus sites e os navegadores dos usuários. Os invasores incluem atacantes intencionalmente maliciosos e empresas legítimas, mas intrusivas, como ISPs que injetam anúncios em páginas.
Os invasores exploram comunicações desprotegidas para enganar os usuários e fazer com que eles forneçam informações sensíveis ou instalem malware ou para inserir os próprios recursos. Por exemplo, alguns terceiros injetam anúncios que podem interromper a experiência do usuário e criar vulnerabilidades de segurança.
Os invasores exploram todos os recursos desprotegidos que transitam entre seus sites e usuários. Imagens, cookies, scripts e HTML podem ser explorados. As invasões podem ocorrer em qualquer ponto da rede, incluindo a máquina de um usuário, um ponto de acesso Wi-Fi ou um ISP comprometido, só para citar alguns. O HTTPS dificulta o acesso de invasores aos recursos dos seus sites.
O HTTPS protege a privacidade e a segurança dos seus usuários
O HTTPS impede que invasores escutem passivamente as comunicações entre seus sites e usuários.
Um equívoco comum sobre o HTTPS é que os únicos sites que precisam dele são aqueles que lidam com comunicações sensíveis. Na verdade, cada solicitação HTTP desprotegida pode revelar informações sobre o comportamento e a identidade dos usuários.
Uma única visita a um dos seus sites não protegidos pode parecer benigna, mas alguns intrusos analisam as atividades de navegação agregadas dos seus usuários para fazer inferências sobre os comportamentos e intenções deles e para revelar as identidades. Por exemplo, os funcionários podem divulgar acidentalmente condições de saúde sensíveis para os empregadores apenas lendo artigos médicos desprotegidos.
O HTTPS é o futuro da Web
Novos recursos poderosos da plataforma da Web, como tirar fotos ou gravar áudio
com getUserMedia(), ativar experiências de apps off-line com service workers
ou criar apps da Web progressivos, exigem permissão explícita do
usuário por HTTPS. Muitas APIs mais antigas também estão sendo atualizadas para exigir permissão
para execução, como a API Geolocation. O HTTPS é um componente importante dos
fluxos de trabalho de permissão para recursos novos e atualizados.