Todos os artigos sobre SSL SSL e certificados

O que e HTTPS? Um Guia Completo

HTTPS (Hypertext Transfer Protocol Secure) e a versão criptografada do HTTP — o protocolo que navegadores usam para se comunicar com sites. Quando um site usa HTTPS, todos os dados entre seu navegador e o servidor sao criptografados, impedindo que qualquer pessoa no meio leia ou modifique esses dados.

Você pode identificar que um site usa HTTPS pelo prefixo https:// na URL e o icone de cadeado na barra de endereco do navegador. Em 2026, 86,9% dos sites usam HTTPS e navegadores marcam todos os sites HTTP como “Não Seguro”.

Como o HTTPS funciona

HTTPS adiciona criptografia TLS (Transport Layer Security) sobre o HTTP regular. Quando você visita um site HTTPS, um handshake TLS ocorre em milissegundos:

  1. Navegador se conecta — envia versões TLS suportadas, conjuntos de cifras é um número aleatorio para o servidor
  2. Servidor responde — envia seu conjunto de cifras escolhido, seu certificado SSL/TLS (contendo sua chave pública) é um número aleatorio
  3. Navegador verifica — checa se o certificado não expirou, corresponde ao domínio e é assinado por uma Autoridade Certificadora confiavel
  4. Chave de sessao negociada — ambos os lados usam criptografia assimetrica (troca de chaves Diffie-Hellman) para concordar em uma chave de sessao compartilhada secreta
  5. Comunicação criptografada comeca — todos os dados subsequentes sao criptografados com a chave de sessao simetrica

Após o handshake, tudo e criptografado: HTML, imagens, CSS, JavaScript, envios de formularios, cookies, respostas de API e caminhos de URL.

Mergulho profundo: Como SSL/TLS funciona →

HTTP vs HTTPS

HTTPHTTPS
CriptografiaNenhuma — dados enviados em texto simplesTodos os dados criptografados com TLS
Porta padrão80443
Prefixo da URLhttp://https://
Certificado necessárioNãoSim (certificado SSL/TLS)
Indicador do navegadorAviso “Não Seguro”Icone de cadeado
Integridade dos dadosNão — dados podem ser modificados em transitoSim — adulteracao e detectada
AutenticaçãoNenhuma — sem prova de que o servidor e genuinoCertificado comprova identidade do servidor
Sinal de SEONegativo (desde 2014)Positivo (fator de ranking do Google)
Suporte HTTP/2Não (na prática)Sim — carregamento de página mais rápido
Necessário paraNada modernoService workers, geolocalizacao, camera/microfone APIs, formularios de pagamento

A diferenca não é apenas segurança — HTTPS habilita recursos modernos da web que HTTP não pode usar. Navegadores restringem service workers, a API de Geolocalizacao, a API de Clipboard e outras APIs poderosas apenas para origens HTTPS.

Por que todo site precisa de HTTPS

Privacidade

Sem HTTPS, qualquer pessoa na mesma rede pode ver exatamente o que você esta fazendo. Um operador de Wi-Fi de cafeteria, um proxy corporativo, um ISP — eles podem ler cada página que você visita, cada formulario que você envia, cada cookie que passa. HTTPS criptografa tudo isso.

Isso não é teorico. ISPs foram documentados injetando anuncios e código de rastreamento em trafego HTTP não criptografado.

Integridade dos dados

HTTPS garante que os dados que você recebe não foram modificados em transito. Sem ele, um operador de rede malicioso poderia:

  • Injetar anuncios ou mineradores de criptomoeda nas suas páginas
  • Substituir links de download por malware
  • Modificar precos ou termos no seu site
  • Inserir scripts de rastreamento

HTTPS detecta qualquer modificacao — o navegador rejeita dados adulterados.

Autenticação

O certificado prova que você esta conectado ao servidor real, não a um impostor. Sem HTTPS, um hotspot Wi-Fi malicioso (chamado “WiFi Gratis Aeroporto”) pode silenciosamente redireciona-lo para uma versão falsa de qualquer site. Com HTTPS, o site falso não pode apresentar um certificado válido para o domínio — o navegador bloqueia a conexão.

SEO

O Google usa HTTPS como sinal de ranking desde 2014. Embora seja um sinal leve (o Google o descreve como um “desempate”), é um dos sinais mais faceis de implementar. Mais importante, páginas HTTP acionam o aviso “Não Seguro” do Chrome, que aumenta a taxa de rejeicao — e a taxa de rejeicao indiretamente afeta os rankings.

Desempenho

Uma concepcao errada comum e que HTTPS e mais lento. Na realidade:

  • O handshake TLS adiciona um round trip (TLS 1.3) ou dois (TLS 1.2) — tipicamente 10-50ms
  • HTTP/2 (que requer HTTPS) e significativamente mais rápido que HTTP/1.1 através de multiplexacao, compressao de cabecalhos e server push
  • Retomada de sessao elimina o overhead do handshake para visitantes que retornam (0-RTT no TLS 1.3)
  • CPUs modernas lidam com criptografia AES em hardware (AES-NI) — o custo de CPU e negligenciavel

Na prática, sites HTTPS com HTTP/2 carregam mais rápido que sites HTTP/1.1.

Requisitos dos navegadores

Navegadores modernos restringem APIs poderosas a contextos seguros (apenas HTTPS):

  • Service Workers — necessarios para PWAs, suporte offline, notificações push
  • API de Geolocalizacao — acesso GPS e localizacao
  • Camera/MicrofonegetUserMedia() para chamadas de video
  • API de Clipboard — leitura da area de transferencia
  • Payment Request API — UI nativa de pagamento
  • Web Bluetooth, Web USB — acesso a hardware

Se seu site precisa de qualquer um desses recursos, HTTPS e obrigatório — não opcional.

Concepcoes erradas comuns

“HTTPS só é necessário para páginas de login e pagamentos.” Cada página deve usar HTTPS. Mesmo posts de blog estaticos transmitem cookies que poderiam ser roubados em HTTP. Páginas HTTP podem ser modificadas em transito para injetar conteúdo malicioso. E navegadores agora alertam em todas as páginas HTTP — não apenas aquelas com formularios.

“HTTPS torna meu site mais lento.” TLS 1.3 adiciona ~10-40ms na primeira conexão. HTTP/2 (que requer HTTPS) mais que compensa com multiplexacao e compressao. Retomada de sessao torna visitas subsequentes ainda mais rapidas. Em hardware moderno, a criptografia em si e tratada por instruções de CPU (AES-NI) e não adiciona overhead mensuravel.

“Certificados HTTPS sao caros.” Let’s Encrypt emite certificados gratuitamente. Mais de 300 milhoes de sites os usam — incluindo grandes empresas e sites governamentais. Com GetHTTPS, você pode obter um em 5 minutos sem instalar nenhum software.

“Meu provedor de hospedagem cuida do HTTPS, não preciso entender.” Provavelmente verdade para sites basicos. Mas se você algum dia vir um aviso de “Mixed Content”, um erro de certificado, ou precisar configurar um redirecionamento — entender HTTPS ajuda a diagnosticar e corrigir o problema. E se você trocar de host, precisara saber como certificados funcionam.

“O icone de cadeado significa que o site e seguro.” O cadeado significa que a conexão e criptografada — não que o site em si e confiavel. Mais de 90% dos sites de phishing agora usam HTTPS. O cadeado confirma com quem você esta conectado (via certificado), não se eles sao honestos.

Como habilitar HTTPS no seu site

  1. Obtenha um certificado — Use GetHTTPS para obter um certificado gratuito do Let’s Encrypt no seu navegador. Sem instalação, sem conta.

  2. Instale no seu servidor — Veja nossos guias para Nginx, Apache, cPanel, WordPress, IIS ou Docker.

  3. Redirecione HTTP para HTTPS — Force todo o trafego para a versão segura. Guia de redirecionamento →

  4. Corrija conteúdo misto — Garanta que todos os recursos (imagens, scripts, CSS) carreguem via HTTPS. Guia de conteúdo misto →

  5. Configure a renovação — Certificados Let’s Encrypt duram 90 dias. Guia de renovação →

O futuro do HTTPS

A validade dos certificados esta diminuindo. O CA/Browser Forum votou para reduzir a validade maxima dos certificados para 47 dias até 2029. Isso torna ferramentas de renovação automatizada (Certbot, acme.sh) ou ferramentas manuais faceis (GetHTTPS) cada vez mais importantes.

HTTP/3 e QUIC. A proxima geração do HTTP roda sobre QUIC, que tem criptografia incorporada na camada de transporte — não existe versão não criptografada. HTTPS não é mais apenas uma camada; esta se tornando inseparavel do protocolo em si.

Encrypted Client Hello (ECH). TLS 1.3 criptografa a maior parte do handshake, mas o SNI (Server Name Indication) — que revela a qual domínio você esta se conectando — ainda e visivel. ECH criptografa o SNI também, tornando impossivel para observadores de rede verem qual site especifico você esta visitando em um servidor compartilhado.

Perguntas frequentes

HTTPS e realmente seguro?

HTTPS com TLS moderno (1.2 ou 1.3) e extremamente seguro contra espionagem e adulteracao. Nenhum ataque prático existe contra TLS 1.3 configurado corretamente. Os riscos remanescentes estao nos endpoints (malware no seu dispositivo, servidor comprometido), não na conexão criptografada em si.

Preciso de HTTPS para um site estatico?

Sim. Mesmo sem formularios ou logins, HTTPS previne injecao de conteúdo (anuncios, malware), protege a privacidade do visitante (quais páginas eles veem), habilita HTTP/2 (carregamento mais rápido) e evita o aviso “Não Seguro” do navegador.

HTTPS afeta SEO?

Sim. O Google confirmou HTTPS como sinal de ranking em 2014. É um sinal leve, mas combinado com o aviso “Não Seguro” (que aumenta taxas de rejeicao), sites HTTP enfrentam desvantagem mensuravel de SEO.

Qual a diferenca entre SSL e TLS?

SSL (Secure Sockets Layer) era o protocolo de criptografia original, criado pela Netscape nos anos 1990. TLS (Transport Layer Security) o substituiu. Todas as versões do SSL estao obsoletas e inseguras. Quando as pessoas dizem “certificado SSL” hoje, elas se referem a um certificado usado com TLS. Os termos sao usados de forma intercambiavel na prática.

Quanto custa HTTPS?

Zero — se você usar Let’s Encrypt. GetHTTPS emite certificados Let’s Encrypt gratuitamente, diretamente no seu navegador. Certificados pagos ($50-500/ano) existem mas fornecem a mesma forca de criptografia — a diferenca esta no nível de válidação de identidade, não na segurança.

HTTPS protege contra todos os ataques?

Não. HTTPS protege dados em transito — previne espionagem, adulteracao e personificacao de servidor. Ele NAO protege contra: malware no dispositivo do usuario, vulnerabilidades no código da sua aplicação (XSS, SQL injection), phishing (o cadeado não significa que o site e honesto) ou violacoes do lado do servidor.

Artigos relacionados

SSL e certificados 2026-05-08
SSL vs TLS: Qual a Diferenca?
SSL esta obsoleto. TLS e o que realmente protege a web. Aprenda a historia completa do SSL 2.0 ao TLS 1.3, as diferencas tecnicas, por que ainda dizemos 'SSL', e o que você precisa fazer (provavelmente nada).
SSL e certificados 2026-05-07
Como SSL/TLS Funciona: O Handshake TLS Explicado
Um passo a passo visual do handshake TLS — como seu navegador é um servidor estabelecem uma conexão criptografada em milissegundos. Cobre TLS 1.2, TLS 1.3, retomada de sessão e forward secrecy.
Primeiros passos 2026-05-08
Como obter um certificado SSL gratuito (guia passo a passo)
Obtenha um certificado SSL gratuito do Let's Encrypt em 5 minutos — sem software para instalar, sem conta para criar. Guia completo cobrindo 4 métodos, ambos os tipos de desafio, instalação em 6 plataformas e solução de problemas.
Comparacao 2026-05-08
Melhores Provedores de Certificado SSL Grátis em 2026 (Comparados)
Compare 9 provedores de certificado SSL grátis em privacidade, limites, suporte a wildcard e automação. Inclui CAs independentes, provedores de hospedagem e CDNs — com uma análise de privacidade que nenhuma outra comparação oferece.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado