A solução Signed HTTP Exchange do Google exibe URLs do editor para páginas AMP via TLS
29 de maio de 2019Os operadores da Web que usam a plataforma do Google AMP (“Accelerated Mobile Pages”) para páginas rápidas projetadas para dispositivos móveis agora contam com uma solução para exibir sua própria URL
Recentemente, o Google anunciou a disponibilidade do SXG (Signed HTTP Exchange, SXG) no navegador Google Chrome, que permite que os editores de AMP usem certificados TLS/SSL habilitados para SXG para exibir adequadamente o domínio do proprietário do site.
Atualmente, segundo informações da DigiCert, a Cia é a única CA pública do mundo a oferecer certificados TLS com o SXG ativado.
O SXG é uma estrutura técnica que permite que os navegadores exibam URLs de editores em resultados de AMP em cache. Atualmente, o SXG está disponível para o Chrome 73 e versões mais recentes (e é esperado que chegue em uma atualização do Microsoft Edge).
A DigiCert fornece certificados SXG que são especialmente projetados para serem confiáveis no mesmo ecossistema que o conteúdo HTTPS típico e para trabalhar de forma síncrona junto com os certificados TLS tradicionais.
Uma mudança esperada há muito tempo
As páginas AMP são mais reconhecidas pelo pequeno símbolo de raio ao lado do URL nos resultados de pesquisa do Google em um dispositivo móvel.
A falta de capacidade da AMP de exibir o URL do proprietário do website, em vez de um URL que começa com o Google, tem sido um problema para os desenvolvedores desde que a AMP foi lançada 2015.
O uso de certificados TLS com o SXG ativado supera esse problema e fornece uma grande vantagem para os profissionais de marketing digital, especialmente aqueles com sites dependentes de marca e receita que recebem tráfego pesado de dispositivos móveis.
Por que usar AMP?
A AMP é amplamente usada, pois permite que os editores da Web criem versões especiais, e geralmente reduzidas, de conteúdo da Web, que são armazenados em cache e exibidos para usuários de dispositivos móveis, geralmente diretamente dos resultados de pesquisa.
Isso permite que os usuários móveis obtenham as informações que estão procurando com muito mais rapidez, com cargas de página extremamente rápidas.
Embora possa não parecer muito, um milissegundo ou dois em tempos de carregamento da página pode fazer uma grande diferença na experiência do usuário e por quanto tempo os visitantes do site ficarão em uma página antes de abandonarem uma página de carregamento mais rápido.
Um estudo da Akamai de 2017 revelou que cada atraso de 100 milissegundos no tempo de carregamento do site pode prejudicar as taxas de conversão em 7%. Isso resulta em perda de receita e oportunidade.
A AMP foi desenvolvido pelo Google como um projeto de código aberto para dar suporte a editores de conteúdo que precisam de versões simplificadas de seus sites de área de trabalho para usuários da Web para dispositivos móveis.
Em 2016, o Google integrou páginas AMP nos resultados de pesquisa para incentivar ainda mais o desempenho da Web para celular e incentivar a navegação na Web para celular.
Como a maioria dos principais sites não foi otimizada para a Web, a AMP exigiu que o Google pré-processasse tudo e usasse a estrutura de URL google.com/amp armazenada em cache.
Isso possibilitou que o Google exibisse páginas para celular com mais rapidez na web. A desvantagem é que a estrutura de URL necessária para as AMP erodiu o URL da empresa nos resultados da pesquisa.
Adicionando segurança, não apenas desenvolvimento, benefícios
A introdução do SXG também fortalece a segurança da web móvel. Anteriormente, a AMP não fornecia provas criptográficas a um usuário final de que o conteúdo veiculado pelos servidores do Google era, de fato, byte a byte idêntico ao conteúdo criado pelo editor. Com efeito, a origem mudou do meio do editor para a AMP.
Usando as tecnologias atuais para que as AMP resolvam esse problema, provavelmente teríamos uma situação comum em outros círculos em que o editor de conteúdo fornece um certificado TLS em nome do proprietário do domínio.
Esta é, em si, uma abordagem menos do que ideal para o problema, uma vez que provoca mais alastramento de chave privada (e outras tecnologias, como Delegated Credentials, estão sendo trabalhadas para ajudar a diminuir tais riscos.
Em vez de alavancar o status quo, o Google investiu na identificação de novas abordagens para resolver esse problema de entrega de conteúdo imutável.
O resultado é Trocas HTTP assinadas, que utilizam padrões de empacotamento da Web para fornecer um mecanismo de assinatura de uma dupla concreta de informações: uma URL de solicitação, informações de negociação de conteúdo e uma resposta.
Esses dados são agrupados, assinados pelo editor de conteúdo e, em seguida, transferidos para a AMP. Em seguida, a AMP pode veicular o conteúdo e exibir a assinatura no conteúdo como prova criptográfica de que ele não foi adulterado de nenhuma maneira. A origem consegue manter a origem, com a AMP atuando apenas como um acelerador para veicular o conteúdo.
Um caminho melhor
Desenvolvedores de páginas AMP podem usar certificados TLS do DigiCert for SXG para resolver seus problemas anteriores.
O uso dessa solução garante que o cache veiculado por terceiros, como o Google, possa ser verificado de forma independente, com a exibição de seu próprio URL, e possa obter provas contra qualquer possível adulteração de conteúdo.