HTTP (Hypertext Transfer Protocol) envia dados em texto plano — qualquer pessoa na rede pode lê-los. HTTPS (HTTP Secure) adiciona criptografia TLS — os dados são criptografados de ponta a ponta entre navegador e servidor.
Em 2026, 86,9% dos sites usam HTTPS. O Chrome tornará o HTTPS-First padrão em outubro de 2026, exibindo um aviso de página inteira para sites HTTP.
Comparação lado a lado
| HTTP | HTTPS | |
|---|---|---|
| Prefixo da URL | http:// | https:// |
| Criptografia | Nenhuma — texto plano | Criptografia TLS (AES-256) |
| Porta padrão | 80 | 443 |
| Certificado necessário | Não | Sim (gratuito da Let’s Encrypt) |
| Exibição no navegador | Aviso “Não seguro” | Ícone de cadeado |
| Dados visíveis para | Qualquer pessoa na rede (ISP, Wi-Fi, proxies) | Apenas remetente e destinatário |
| Integridade dos dados | Não — podem ser modificados em trânsito | Sim — adulteração é detectada |
| Autenticação | Nenhuma — sem prova de identidade | Certificado prova a identidade do servidor |
| Velocidade | Apenas HTTP/1.1 | HTTP/2 habilitado (mais rápido) |
| SEO | Sinal negativo (desde 2014) | Sinal positivo |
| APIs web modernas | Maioria bloqueada | Todas disponíveis |
| Custo | Gratuito | Gratuito (Let’s Encrypt) |
| Chrome out. 2026 | Aviso de página inteira | Normal |
O que acontece no HTTP (o risco)
Em uma conexão HTTP não criptografada, um observador de rede vê tudo:
GET /login HTTP/1.1
Host: example.com
Cookie: session=abc123xyz
username=admin&password=MySecret123
Isso inclui: URLs que você visita, dados de formulários (nomes de usuário, senhas, cartões de crédito), cookies (tokens de sessão), conteúdo de páginas e respostas de API. Qualquer pessoa no mesmo Wi-Fi, qualquer roteador entre você e o servidor, e seu ISP podem ler tudo.
No HTTPS, o mesmo observador vê:
[dados criptografados — indistinguíveis de bytes aleatórios]
Eles podem ver o IP de destino e o nome do domínio (SNI), mas não o caminho da URL, cabeçalhos, corpo ou cookies.
O que sites HTTP não podem fazer
Os navegadores restringem APIs modernas apenas para HTTPS (“contextos seguros”):
- Service Workers — suporte offline, notificações push
- Geolocation API — acesso ao GPS
- Câmera/Microfone —
getUserMedia() - Clipboard API — ler/escrever na área de transferência
- Payment Request API — folhas de pagamento nativas
- Web Bluetooth, Web USB — acesso a hardware
- HTTP/2 — multiplexação, compressão de cabeçalhos (navegadores exigem HTTPS)
Se seu site usa qualquer um destes, HTTPS é obrigatório — não opcional.
A diferença no SEO
O Google confirmou o HTTPS como sinal de ranqueamento em 2014. O sinal direto é “leve” (um critério de desempate), mas os efeitos indiretos são significativos:
- Aviso “Não seguro” → maiores taxas de rejeição → menor engajamento → posições mais baixas
- Sem HTTP/2 → carregamento mais lento → piores Core Web Vitals → posições mais baixas
- Chrome HTTPS-First (out. 2026) → aviso de página inteira → perda massiva de tráfego
”Mas HTTPS é mais lento” — mito
O HTTPS adiciona uma ida e volta para o handshake TLS (10-40ms com TLS 1.3). Mas o HTTPS habilita o HTTP/2, que faz as páginas carregarem mais rápido através de:
- Multiplexação — múltiplas requisições em uma conexão (HTTP/1.1: uma por vez)
- Compressão de cabeçalhos — reduz overhead
- Retomada de sessão — visitantes que retornam pulam o handshake (0-RTT no TLS 1.3)
Resultado líquido: sites HTTPS + HTTP/2 tipicamente carregam mais rápido que sites HTTP/1.1.
Como migrar de HTTP para HTTPS
- Obtenha um certificado gratuito — GetHTTPS (5 minutos, sem instalação)
- Instale no seu servidor — Nginx | Apache | cPanel | WordPress
- Configure redirecionamentos 301 — Guia de redirecionamento
- Corrija conteúdo misto — Guia de conteúdo misto
- Atualize serviços externos — Google Search Console, Analytics, perfis sociais
Checklist completo de migração (15 passos) →
Perguntas frequentes
Existe alguma razão para permanecer em HTTP?
Não. HTTPS é gratuito (Let’s Encrypt), leva 5 minutos para configurar, torna seu site mais rápido (HTTP/2) e evita o aviso “Não seguro”. Não há nenhum benefício em permanecer em HTTP.
O HTTPS torna meu site completamente seguro?
O HTTPS protege a conexão — previne espionagem, adulteração e personificação. Ele NÃO protege contra: vulnerabilidades de aplicação (XSS, SQL injection), violações no servidor, phishing (criptografado ≠ confiável) ou malware no dispositivo do usuário.
Certificados gratuitos e pagos fornecem o mesmo HTTPS?
Sim. A criptografia é idêntica. Um certificado DV gratuito da Let’s Encrypt é um certificado EV de $500 usam os mesmos protocolos TLS, cipher suites e troca de chaves. O ícone de cadeado é o mesmo.
A migração para HTTPS vai quebrar alguma coisa?
Potencialmente: links http:// codificados no seu conteúdo causam avisos de conteúdo misto, e alguns embeds de terceiros podem precisar de URLs HTTPS. O guia de migração cobre cada caso especial.