Blog

Blog

HTTPS: O que é, Para que Serve e HTTP vs HTTPS

HTTPS é a versão segura do HTTP, o protocolo que o navegador usa para se comunicar com um site. A sigla significa Hypertext Transfer Protocol Secure, e o "S" vem da camada de criptografia TLS (Transport Layer Security), que embaralha os dados trocados entre o navegador e o servidor. Na prática, o HTTPS garante que ninguém no meio do caminho consiga ler ou alterar o que trafega, e é hoje o padrão esperado por navegadores e mecanismos de busca. Este artigo explica o que a sigla significa, para que serve, como ela difere do HTTP e o que muda para segurança e SEO.

O que é HTTPS e o que significa a sigla

HTTPS significa Hypertext Transfer Protocol Secure, ou seja, o protocolo HTTP rodando sobre uma conexão criptografada. Ele combina o HTTP tradicional com o TLS (Transport Layer Security), a tecnologia que cifra os dados em trânsito. Enquanto o HTTP transmite tudo em texto aberto pela porta 80, o HTTPS estabelece um canal seguro pela porta 443 e exige um certificado digital válido no servidor. É essa camada de TLS que transforma http:// em https:// na barra de endereço.

Para que serve o HTTPS

O HTTPS serve para proteger a comunicação entre o usuário e o site em três frentes: confidencialidade, integridade e autenticidade. A confidencialidade impede que terceiros na mesma rede leiam senhas, dados de cartão ou informações enviadas em formulários. A integridade garante que o conteúdo não foi alterado no caminho, bloqueando a injeção de scripts ou anúncios por atacantes. A autenticidade, atestada pelo certificado, confirma que o navegador está falando com o servidor correto, e não com um impostor em um ataque man-in-the-middle. Sem HTTPS, qualquer um posicionado entre o usuário e o site pode observar ou manipular esse tráfego.

Qual a diferença entre HTTP e HTTPS

A diferença central entre HTTP e HTTPS é a criptografia: o HTTP transmite dados em texto aberto e o HTTPS os cifra com TLS. Isso afeta desde a porta usada até o modo como o navegador sinaliza a página. A tabela abaixo resume os pontos práticos.

AspectoHTTPHTTPS
SiglaHypertext Transfer ProtocolHypertext Transfer Protocol Secure
CriptografiaNenhuma (texto aberto)TLS (dados cifrados)
Porta padrão80443
CertificadoNão exigeExige certificado TLS válido
Risco de interceptaçãoAlto (leitura e alteração no caminho)Baixo (canal protegido)
Sinalização no Chrome"Não seguro"Cadeado, sem aviso

Em resumo, o HTTP e o HTTPS entregam o mesmo conteúdo, mas apenas o HTTPS protege esse conteúdo enquanto ele viaja pela rede.

HTTPS é seguro? O que ele protege e o que não protege

O HTTPS é seguro para a conexão, mas não é um selo de que o site em si seja confiável. O certificado TLS prova que o tráfego está cifrado e que você se conecta ao domínio informado, nada além disso. Um site de phishing pode ter HTTPS e exibir o cadeado normalmente, porque emitir um certificado hoje é gratuito e automático. Ou seja, o cadeado significa "esta conexão é privada", não "esta empresa é idônea". O HTTPS protege contra interceptação e adulteração na rede, mas não contra conteúdo malicioso hospedado no próprio site nem contra golpes de engenharia social.

HTTPS é fator de ranqueamento no Google?

Sim, o HTTPS é um fator de ranqueamento no Google, embora leve. O Google anunciou em agosto de 2014 que passaria a usar conexões seguras como sinal de busca, descrevendo-o na época como um sinal muito leve, que afetava menos de 1% das consultas globais e pesava menos que a qualidade do conteúdo. Desde então, o próprio Google reposicionou o HTTPS como um dos sinais de experiência da página, usados em conjunto pelos sistemas de ranqueamento, e não como um sistema isolado. A recomendação prática permanece: HTTPS é pré-requisito de higiene técnica, não um atalho para subir posições. Você pode monitorar problemas de HTTPS pelo Google Search Console.

O aviso "Não seguro" do Chrome em sites HTTP

Desde julho de 2018, com o Chrome 68, o navegador marca todas as páginas em HTTP como "Não seguro" na barra de endereço. O processo começou antes, em 2017, sinalizando apenas páginas HTTP com campos de senha ou cartão, e depois se estendeu a todo o tráfego não cifrado. Para o usuário, esse aviso funciona como um alerta de desconfiança que aumenta a taxa de rejeição e reduz conversões, mesmo em sites legítimos. Na prática, um site em HTTP hoje comunica abandono técnico antes de o visitante ler o conteúdo. Corrigir isso é o principal motivo pelo qual a migração para HTTPS deixou de ser opcional.

Como migrar de HTTP para HTTPS

Migrar para HTTPS envolve quatro passos: instalar um certificado TLS, redirecionar o HTTP para o HTTPS, corrigir conteúdo misto e atualizar os links internos. Certificados são gratuitos via Let's Encrypt e costumam ser ativados com um clique em hospedagens modernas ou por CDNs como a Cloudflare. Depois de servir o site em HTTPS, o cuidado maior é garantir que nenhum recurso continue sendo carregado por HTTP e que os buscadores entendam a versão HTTPS como a definitiva. As subseções abaixo detalham os pontos que mais quebram nesse processo.

Redirecionamento 301 vs 302

Para migração definitiva de HTTP para HTTPS, use redirecionamento 301, não 302. O código 301 sinaliza um redirecionamento permanente, instruindo navegadores e buscadores a tratar a URL HTTPS como o novo endereço oficial e a consolidar nela os sinais de ranqueamento. O 302 indica um redirecionamento temporário, apropriado apenas quando você pretende voltar à URL original, o que não é o caso de uma migração. Aplicar 301 de todas as URLs HTTP para suas equivalentes HTTPS preserva o histórico da página e evita conteúdo duplicado entre as duas versões.

O que é Conteúdo misto (mixed content)

Conteúdo misto ocorre quando uma página HTTPS carrega recursos por HTTP, como imagens, scripts ou folhas de estilo. Os navegadores dividem esse problema em dois tipos. O conteúdo misto ativo (scripts, CSS e iframes) pode alterar a página inteira e é bloqueado por padrão pelos navegadores modernos, o que costuma deixar o site quebrado ou sem estilo. O conteúdo misto passivo (imagens, áudio e vídeo) normalmente carrega, mas faz o navegador remover o cadeado e exibir um aviso. A correção é trocar todas as referências http:// por https:// no HTML, CSS e JavaScript, verificando antes se existe versão segura do recurso.

HSTS: forçar HTTPS de forma permanente

O HSTS (HTTP Strict Transport Security) é um cabeçalho que instrui o navegador a acessar o domínio somente por HTTPS, mesmo que o usuário digite http://. Definido na RFC 6797, ele é enviado como Strict-Transport-Security e traz a diretiva obrigatória max-age, o tempo em segundos que o navegador deve lembrar dessa regra. As diretivas opcionais includeSubDomains estende a política aos subdomínios e preload permite incluir o domínio na lista pré-carregada dos navegadores. O cabeçalho só é aceito quando enviado por HTTPS, e uma vez ativo o navegador não deixa o usuário ignorar erros de certificado. Comece com um max-age curto para testar, já que reverter o HSTS é lento.

Como testar o HTTPS de um site

Para testar o HTTPS de um site, verifique o cadeado na barra de endereço, rode uma análise de certificado e procure por conteúdo misto no console do navegador. Ferramentas como o SSL Labs avaliam a configuração do TLS e apontam certificados expirados, cadeias incompletas ou protocolos fracos. O console do navegador (aba de segurança ou de problemas nas DevTools) lista cada recurso carregado por HTTP dentro de uma página HTTPS. Para acompanhamento contínuo, o Google Search Console reporta páginas com problemas de indexação e segurança ao longo do tempo. Fazer essa verificação após a migração evita o cenário comum de um site "quase" em HTTPS, com o cadeado quebrado por um único recurso inseguro.

Perguntas frequentes sobre HTTPS

Preciso de HTTPS mesmo sem loja virtual?

Sim. Mesmo sites sem transações se beneficiam do HTTPS, porque o Chrome marca qualquer página HTTP como "Não seguro" desde 2018 e o HTTPS é sinal de ranqueamento desde 2014. Além disso, formulários de contato, logins e comentários trafegam dados que merecem proteção.

SSL e HTTPS são a mesma coisa?

Não exatamente. HTTPS é o protocolo (HTTP sobre uma conexão cifrada), enquanto SSL/TLS é a tecnologia de criptografia que torna essa conexão segura. O termo "certificado SSL" persiste por costume, mas o protocolo em uso hoje é o TLS, sucessor do SSL.

Certificado grátis como o Let's Encrypt é confiável?

Sim. Certificados gratuitos do Let's Encrypt oferecem a mesma criptografia TLS dos pagos e são reconhecidos por todos os navegadores. A diferença dos certificados pagos está em recursos como validação estendida e garantias comerciais, não no nível de cifragem.

HTTPS deixa o site mais lento?

Não de forma perceptível. O custo do handshake TLS é mínimo em servidores modernos, e protocolos como o HTTP/2, que exigem HTTPS, tendem a deixar o carregamento mais rápido, não mais lento. A percepção de lentidão costuma vir de má configuração, não do HTTPS em si.

Migrar para HTTPS derruba o ranqueamento?

Não, desde que a migração use redirecionamento 301 de todas as URLs. Quedas temporárias podem ocorrer enquanto o Google reprocessa as URLs, mas se recuperam quando os redirecionamentos e os links internos apontam corretamente para a versão HTTPS.

O que significa o cadeado na barra de endereço?

O cadeado indica que a conexão com o site é cifrada por TLS, ou seja, que os dados trocados estão protegidos de interceptação. Ele não atesta que o site é legítimo ou seguro em seu conteúdo, apenas que o canal de comunicação é privado.

Conclusão

O HTTPS deixou de ser um diferencial para se tornar a linha de base da web: ele cifra a conexão, evita o aviso "Não seguro" do Chrome e é um dos sinais que o Google considera ao avaliar a experiência da página. Migrar exige certificado TLS, redirecionamento 301, correção de conteúdo misto e, idealmente, HSTS para consolidar a proteção. O próximo passo natural é revisar a indexação e a arquitetura do site: comece pelo robots.txt e pelo sitemap XML, que definem o que os buscadores rastreiam, e acompanhe tudo pelo Google Search Console.

Continue lendo

SEO Técnico Google Search Console: o que é e para que serve 9 min de leitura SEO Técnico Sitemap XML: o que é, para que serve e como validar 9 min de leitura