Porque as mudanças nos protocolos de segurança do Google Chrome podem afetar o seu e-commerce? Veja o que são essas mudanças e como agir para minimizar seus reflexos para seu negócio.
O Google Chrome é um dos principais navegadores do Brasil? Segundo pesquisa da StatCounter Global Stats de 2015, 70% dos internautas utilizam o Google Chrome como principal navegador.
No Brasil isso não é diferente, segundo a mesma pesquisa 65% dos usuário utilizam o Google Chrome, e esse artigo trata exclusivamente de uma mudança nos protocolos de segurança no navegador que pode afetar muito seu e-commerce, continue lendo e entenda as premissas e reflexos dessa alteração.
—————————-
Uma das premissas importantes para a gestão de todo e-commerce é entender qual é o ambiente que seu cliente utiliza para acessar seu negócio, interagir com seus produtos e realizar suas compras.
Não é atoa que o Web Analytics é um assunto rotineiramente tratado por gestores de e-commerce, entender os dados de tráfego e observação se torna um fator relevante para correções e melhorias com foco no melhoramento da conversão do negócio.
Conforme anunciado pelo blog do próprio Google Chrome (Chormium Blog), no dia 03/10, o time de evolução do navegador disse que come começará gradualmente a garantir que as páginas https: // possam carregar apenas sub-recursos https: // seguros.
Em uma série de etapas descritas abaixo, o time do Google Chrome começará a bloquear conteúdo misto (http: // sub-recursos não seguros em https: // páginas) por padrão. Essa alteração melhorará a privacidade e a segurança do usuário na Web e apresentará um UX de segurança do navegador mais claro aos usuários.
Nos últimos anos, a Web fez um grande progresso na transição para HTTPS: os usuários do Chrome agora gastam mais de 90% do tempo de navegação no HTTPS em todas as principais plataformas. Agora, eles estão voltando a atenção para garantir que as configurações de HTTPS na Web sejam seguras e atualizadas.
As páginas HTTPS geralmente sofrem de um problema chamado conteúdo misto, em que os sub-recursos da página são carregados de maneira insegura por http: //. Os navegadores bloqueiam muitos tipos de conteúdo misto por padrão, como scripts e iframes, mas ainda é permitido carregar imagens, áudio e vídeo, o que ameaça a privacidade e a segurança dos usuários.
Um bom exemplo, que posso compartilhar é a possibilidade de um invasor poder adulterar uma imagem mista de um gráfico de ações para enganar os investidores ou injetar um cookie de rastreamento em uma carga mista de recursos. O carregamento de conteúdo misto também leva a um UX confuso de segurança do navegador, onde a página é apresentada como não segura nem insegura, mas em algum lugar intermediário.
Bruno Cury, CEO Click Qi
Em uma série de etapas iniciadas no Chrome 79, o Chrome passará gradualmente a bloquear todo o conteúdo misto por padrão. Para minimizar a quebra, eles agruparão automaticamente os recursos mistos em https: //, para que os sites continuem funcionando se seus sub-recursos já estiverem disponíveis em https: //.
Os usuários poderão ativar uma configuração para desativar o bloqueio de conteúdo misto em sites específicos. Em vez de bloquear todo o conteúdo misto de uma só vez, segundo o blog, eles lançarão essa alteração em uma série de etapas. No Chrome 79, será lançado o canal estável em dezembro de 2019, e será apresentado uma nova configuração para desbloquear conteúdo misto em sites específicos.
Essa configuração se aplica a scripts mistos, iframes e outros tipos de conteúdo que o Chrome atualmente bloqueia por padrão. Os usuários podem alternar essa configuração clicando no ícone de cadeado em qualquer página https: // e clicando em Configurações do site. Isso substituirá o ícone de escudo que aparece no lado direito da omnibox para desbloquear conteúdo misto nas versões anteriores do Chrome da área de trabalho.
Veja a imagem abaixo!
Já no Chrome 80, os recursos mistos de áudio e vídeo serão atualizados automaticamente para https: //, e o Chrome os bloqueará por padrão se não conseguirem carregar sobre https: //.
Hoje muitos sites utilizam requisições de vídeos e imagens sem o HTTPs, o que pode prejudicar muito o conteúdo entregue na página, refletindo em um circunstâncias queda de conversão.
Bruno Cury, CEO Click Qi
O Chrome 80 será lançado nos canais de lançamento antecipado em janeiro de 2020. Os usuários podem desbloquear os recursos de áudio e vídeo afetados com a configuração descrita acima. Também no Chrome 80, as imagens mistas ainda poderão carregar, mas farão com que o Chrome mostre um chip “Não Seguro” na omnibox.
Esse processo prevê que essa será uma interface de usuário de segurança mais clara para os usuários e motivará os sites a migrarem suas imagens para HTTPS. Os desenvolvedores podem usar as diretivas de Política de segurança de conteúdo para atualização sem segurança de conteúdo ou bloquear todo o conteúdo misto para evitar esse aviso. Veja como se comportará o navegador ao apresentar o aviso de insegurança do conteúdo.
Já no Chrome 81, as imagens mistas serão classificadas automaticamente para https: // e o Chrome as bloqueará por padrão se não conseguirem carregar sobre https: //. O Chrome 81 será lançado nos canais de lançamento antecipado em fevereiro de 2020.
Como entender quais conteúdos de seu site ficarão de fora dessa política?
Os desenvolvedores devem migrar seu conteúdo misto para https: // imediatamente para evitar avisos e falhas.
Uma opção é utilizar a política de segurança de conteúdo e a auditoria de conteúdo misto da Lighthouse para descobrir e corrigir conteúdo misto no seu site. Consulte esse guia para para obter conselhos gerais sobre a migração de servidores para HTTPS.
Verifique com seu CDN, host da web ou sistema de gerenciamento de conteúdo para ver se eles possuem ferramentas especiais para depurar conteúdo misto.
Por exemplo, o Cloudflare oferece uma ferramenta para reescrever conteúdo misto em https: //, e os plugins do WordPress também estão disponíveis.
Quais são os riscos caso essa alteração não seja realizada?
De acordo com o Google, a partir do mês de Dezembro, todos clientes que acessarem seu e-commerce e caso tenha conteúdo misto, primeiro o Chrome realizará uma tentativa de acesso desse conteúdo com HTTPS e caso não consiga, como padrão bloqueará o acesso desse conteúdo.
Um exemplo é que temos muitos clientes que trabalham com vídeo na pagina de produto junto com as imagens, muitas vezes esses vídeos são colocados em um servidor sem certificado SSL, de acordo com a informação do Google a partir do mês de Dezembro não será possível acessar esse vídeo caso não coloquemos o certificado SSL.
Vale lembrar que todas essas informações acima foram citadas e-commerce, entretanto todos esses pontos valem também para Blogs e Sites.
Onde podemos te ajudar?
A Click Qi desenvolveu um protocolo de certificação e verificação de conteúdos mistos carregados nas páginas das operações de e-commerce.
A Click Qi está entregando certificados SSL e está operando servidores para verificarem a existência de conteúdos mistos carregados nas páginas das operações de e-commerce.
Para todos os clientes de Customer Care, essa verificação está sendo realizada de forma gradativa e todas as “chamadas” desses conteúdos sendo alteradas.
Caso você não tenha contrato de Customer Care conosco, preencha o formulário que entraremos em contato para o desenvolvimento desse serviço sob demanda.