צריך להגן על כל האתרים באמצעות HTTPS, גם אם הם לא מכילים מידע אישי רגיש. איסור זה כולל הימנעות מתוכן מעורב, שבו משאבים מסוימים נטענים באמצעות HTTP למרות שהבקשה הראשונית מוצגת באמצעות HTTPS. פרוטוקול HTTPS מונע מפולשים להשתמש בתקשורת בין האפליקציה למשתמשים או להקשיב לה באופן פסיבי. השימוש בפרוטוקול הזה הוא דרישה מוקדמת של HTTP/2 ושל ממשקי API חדשים רבים של פלטפורמות אינטרנט.
למידע נוסף על הסיבות לכך שכל האתרים צריכים להיות מוגנים באמצעות HTTPS, אפשר לעיין במאמר למה HTTPS חשוב.
איך בדיקת HTTPS של Lighthouse נכשלה
הדף Lighthouse מסמן דפים שלא נמצאים ב-HTTPS:
איך להעביר את האתר ל-HTTPS
שקול לארח את האתר שלך ב-CDN. רוב רשתות ה-CDN מאובטחות כברירת מחדל.
במאמר הפעלת HTTPS בשרתים של Google מוסבר איך מפעילים HTTPS בשרתים. אם אתם מפעילים שרת משלכם ואתם צריכים דרך קלה וזולה ליצירת אישורים, Let's Encrypt היא אפשרות טובה.
אם הדף כבר פועל ב-HTTPS אבל לא הצלחתם בבדיקה הזו, יכול להיות שיש בעיות עם תוכן מעורב. בדף יש תוכן מעורב כשהדף עצמו נטען באמצעות HTTPS, אבל הוא מבקש משאב לא מוגן (HTTP). אפשר לעיין במסמך הבא בחלונית האבטחה של Chrome DevTools כדי ללמוד איך לנפות באגים במצבים האלה: הסבר על בעיות אבטחה באמצעות כלי הפיתוח ל-Chrome.