HTTPS é um protocolo seguro de transferência de hipertexto que protege a privacidade e criptografa os dados do usuário entre o computador e o website. HTTPS protege os dados pessoais do visitante quando são transmitidos e inseridos num formulário do site ou quando você compra um produto em e-commerces.

Os dados enviados por HTTPS têm a proteção do protocolo TLS, que fornece os 3 principais níveis de proteção:

1. Criptografia. Criptografa os dados enviados para protegê-los de ataques de eavesdropping. Isto quer dizer que, enquanto o visitante estiver navegando em um site, nenhuma pessoa pode “ouvir” suas conversas, seguir suas atividades em diversas páginas ou furtar suas informações.
2. Integridade dos dados. Os dados não podem ser alterados ou danificados enquanto acontece a transferência sem serem detectados, mesmo que isso seja intencional ou não.
3. Autenticação. Comprova que os usuários estão se comunicando com o site desejado. Protege contra ataques man-in-the-middle e eleva a confiança do visitante, algo benéfico para a empresa.

Melhores Práticas HTTPS.

O certificado é emitido pelas autoridades de certificação (em inglês, Certificate Authority – CA) que averiguam que o endereço web pertence à sua empresa, protegendo os clientes contra ataques man-in-the-middle.

• Use certificados de segurança com chave de 2048 bits, que são confiáveis;
• Faça a verificação do certificado numa CA que possa fornecer apoio técnico;
• Utilize URLs relativas para aqueles recursos que estão no mesmo domínio seguro;
• Use URLs relativas com protocolo para todos os seus outros domínios;
• Não faça o bloqueio do HTTPS usando o arquivo robots.txt;
• Permita que as suas páginas sejam indexadas tanto quanto possível pelos motores de busca. Não evite a indexação por nenhum robô;
• O Google também fez a atualização do Webmaster Tools para melhor gerenciar e trabalhar com sites em HTTPS. Aproveite e adicione a versão HTTPS do seu site lá;
• Monitore cuidadosamente a migração de HTTP para HTTPS no seu software de análise com o Google Analytics e no Webmaster Tools.
• Decidir que tipo de certificado será exigido:
  • Certificado comum (Single Domain). Por exemplo, www.seusite.com;
  • Certificado coringa (WildCard). Para subdomínios (por exemplo, www.seusite.com, blog.seusite.com e loja.seusite.com;
  • Certificado para domínios múltiplos (Multi Domain). Por exemplo, www.seusite.com, site.seusite.com e seusite.com.uk;

Para entender mais a fundo sobre o Certificado SSL, leia esse artigo aqui.

Por que mudar o site de HTTP para HTTPS?

A principal razão é o fator de posicionamento nas SERPs (em inglês, Search Engine Results Page) do Google, mas deveria ser porque ele torna o site mais seguro através da criptografia de dados. O SSL criptografa todos os dados, além de elevar a segurança do site, também traz maior credibilidade junto aos seus clientes e/ou visitantes.

O site deve estar inteiramente em HTTPS, não apenas nas páginas onde o usuário precisa inserir dados. Se você alterar seu site de HTTP para HTTPS, o Google vai entender como mudança de site com alterações na URL, o que pode afetar de forma temporária as estatísticas de tráfego, por exemplo:

• Variação temporária de posicionamento nas SERPs;
• O site HTTPS tem uma pequena alteração na classificação, mas não será muito significativa.

Veja também o artigo: Visão geral: mudanças de sites com alterações de URL