Não usa HTTPS

Todos os sites precisam ser protegidos com HTTPS, mesmo os que não processam dados sensíveis. Isso inclui evitar conteúdo misto, em que alguns recursos são carregados por HTTP mesmo quando a solicitação inicial é atendida por HTTPS. O HTTPS evita que invasores adulterem ou detectem passivamente as comunicações entre o aplicativo e os usuários, além de ser um pré-requisito para HTTP/2 e muitas novas APIs de plataforma da Web.

Para saber mais sobre por que todos os sites precisam ser protegidos com HTTPS, consulte Por que o HTTPS é importante.

Como a auditoria HTTPS do Lighthouse falha

O Lighthouse sinaliza páginas que não estão em HTTPS:

Auditoria do Lighthouse mostrando que a página não está em HTTPS

Como migrar seu site para HTTPS

Considere hospedar seu site em uma CDN. A maioria das CDNs é segura por padrão.

Para saber como ativar o HTTPS nos servidores, consulte Como ativar o HTTPS nos servidores do Google. Se você executa seu próprio servidor e precisa de uma maneira barata e fácil de gerar certificados, o Let's Encrypt (em inglês) é uma boa opção.

Se a página já estiver sendo executada em HTTPS, mas essa auditoria falhar, talvez você tenha problemas com conteúdo misto. Uma página tem conteúdo misto quando a própria página é carregada por HTTPS, mas solicita um recurso desprotegido (HTTP). Confira o documento a seguir no painel "Security" do Chrome DevTools para saber como depurar essas situações: Entender os problemas de segurança com o Chrome DevTools.

Recursos