HTTPS: o que é, por que o cadeado verde importa e como ativar no seu site
Você já reparou naquele cadeado pequeno que aparece ao lado do endereço dos sites no navegador? Esse símbolo indica que o site usa HTTPS — e a ausência dele é um sinal de alerta que afasta visitantes, prejudica o ranqueamento no Google e pode até bloquear transações em gateways de pagamento.
HTTPS não é um detalhe técnico opcional. Desde 2018, o Google Chrome exibe a mensagem “Não seguro” para qualquer site que ainda use HTTP. Isso significa que se o seu site não tem HTTPS ativo, cada visitante que chega vê essa advertência antes de ler qualquer palavra do seu conteúdo. O impacto na taxa de rejeição é imediato e mensurável.
Neste guia você vai entender o que é HTTPS, como ele funciona, por que importa para SEO e segurança, e como ativar no seu site WordPress de forma gratuita em menos de 10 minutos.
O que é HTTPS
HTTPS (HyperText Transfer Protocol Secure) é a versão segura do HTTP — o protocolo que define como os dados são transmitidos entre o navegador do visitante e o servidor onde o site está hospedado. A diferença entre HTTP e HTTPS é uma letra S que representa uma camada de criptografia chamada SSL/TLS (Secure Sockets Layer / Transport Layer Security).
Quando um site usa HTTPS, todos os dados trocados entre o visitante e o servidor são criptografados — o que significa que mesmo que alguém intercepte a comunicação, não conseguirá lê-la. Para sites que coletam dados pessoais, processam pagamentos ou simplesmente têm um formulário de contato, HTTPS não é opcional: é o mínimo de responsabilidade com os dados do visitante.
A diferença entre HTTP e HTTPS na prática
HTTP — comunicação sem criptografia
No HTTP, os dados transitam em texto puro entre o navegador e o servidor. Qualquer pessoa com acesso à rede — em um Wi-Fi público, por exemplo — pode interceptar e ler esses dados. Nome, e-mail, senha, número de cartão: tudo que o visitante digita em um formulário HTTP é visível para quem interceptar a conexão. O Chrome identifica esses sites com a marcação “Não seguro” na barra de endereço.
HTTPS — comunicação criptografada
No HTTPS, os dados são criptografados antes de sair do navegador e só decriptografados quando chegam ao servidor. O cadeado na barra de endereço confirma que a conexão é segura e que o site tem um certificado SSL válido. Para o visitante, isso significa privacidade e segurança. Para o proprietário do site, significa credibilidade e conformidade com boas práticas de segurança digital.
Por que HTTPS importa para o SEO
O Google anunciou em 2014 que HTTPS seria um fator de ranqueamento. Desde então, o peso desse fator só cresceu. Em 2026, site sem HTTPS tem desvantagem real de posicionamento em relação a concorrentes com a mesma qualidade de conteúdo e autoridade de domínio que têm HTTPS ativo.
Impacto direto no ranqueamento
O algoritmo do Google usa HTTPS como sinal positivo de qualidade e segurança do site. Não é o fator mais pesado — conteúdo relevante e autoridade de domínio têm mais impacto — mas em disputas acirradas entre sites com qualidade similar, HTTPS pode ser o diferencial que coloca um na frente do outro.
Impacto indireto na taxa de rejeição
O impacto mais significativo do HTTPS no SEO é indireto: a mensagem “Não seguro” do Chrome assusta visitantes e aumenta a taxa de rejeição — especialmente em mobile. Visitante que chega ao site, vê o aviso de “Não seguro” e sai imediatamente envia um sinal negativo ao Google. Esse comportamento em escala prejudica o posicionamento mais do que a ausência do fator técnico de HTTPS em si. Para entender como velocidade de site e outros fatores técnicos impactam o SEO, leia nosso guia completo.
Dados de referência preservados no Analytics
Sites em HTTP perdem dados de referência no Google Analytics. Quando um visitante vem de um site HTTPS e chega a um site HTTP, o Analytics registra a visita como “direta” em vez de como referência — porque o navegador não passa o header Referer de HTTPS para HTTP. Isso distorce os dados de fonte de tráfego e dificulta a análise de quais canais estão gerando visitantes.
O que é certificado SSL e como funciona
O certificado SSL é um arquivo digital que autentica a identidade do site e habilita a conexão criptografada. Funciona como um passaporte digital do site — emitido por uma Autoridade Certificadora (CA) confiável e que confirma que o domínio pertence a quem diz pertencer.
Tipos de certificado SSL
DV (Domain Validation): valida apenas que o solicitante controla o domínio. É o tipo mais simples, mais rápido de emitir (minutos) e o que a maioria dos sites precisa. Let’s Encrypt emite certificados DV gratuitamente. OV (Organization Validation): valida domínio e identidade da organização. Leva alguns dias e tem custo. Para empresas que querem o nome da organização no certificado. EV (Extended Validation): validação mais rigorosa com verificação manual da empresa. Antigamente mostrava o nome da empresa em verde na barra de endereço — recurso descontinuado pelos navegadores modernos. Raramente necessário para PMEs.
Let’s Encrypt — certificado SSL gratuito e automático
Let’s Encrypt é uma Autoridade Certificadora sem fins lucrativos que emite certificados SSL gratuitos e renováveis automaticamente a cada 90 dias. É reconhecida por todos os navegadores modernos e oferece o mesmo nível de criptografia que certificados pagos de centenas de dólares. A maioria das hospedagens profissionais já inclui instalação automática do Let’s Encrypt. Nos planos da Hostconect, o certificado SSL está configurado e renovado automaticamente — sem custo adicional e sem intervenção manual.
Como ativar HTTPS no WordPress
Passo 1 — Instale o certificado SSL na hospedagem
A maioria das hospedagens profissionais oferece instalação do certificado SSL com um clique no painel de controle (cPanel, Plesk ou painel próprio). Se a hospedagem suporta Let’s Encrypt, o certificado é gratuito e se renova automaticamente. Se não souber como fazer, entre em contato com o suporte da hospedagem — é uma das solicitações mais comuns e o processo leva menos de 5 minutos.
Passo 2 — Atualize as URLs do WordPress para HTTPS
Após instalar o certificado, vá em Configurações → Geral no painel do WordPress e mude “Endereço do WordPress” e “Endereço do site” de http:// para https://. Salve as alterações. Se perder o acesso após essa mudança, acesse via FTP e edite o arquivo wp-config.php adicionando as linhas de definição de URL forçando HTTPS.
Passo 3 — Configure redirecionamentos 301 de HTTP para HTTPS
Qualquer link externo ou bookmark que aponta para a versão HTTP do site precisa ser redirecionado para HTTPS automaticamente. No arquivo .htaccess do servidor Apache, adicione as regras de redirecionamento 301. Alternativamente, plugins como Really Simple SSL fazem isso automaticamente com um clique — detectam o certificado instalado e configuram os redirecionamentos sem precisar editar arquivos do servidor.
Passo 4 — Corrija o mixed content
Mixed content acontece quando uma página HTTPS carrega recursos (imagens, scripts, fontes) via HTTP. O navegador bloqueia esses recursos ou exibe um aviso de segurança. Para identificar e corrigir: use a ferramenta de desenvolvedor do Chrome (F12 → Console) para ver quais recursos ainda são carregados via HTTP, e atualize as URLs no banco de dados usando plugins como Better Search Replace — substituindo todas as ocorrências de http:// pelo domínio para https://.
Passo 5 — Atualize o Search Console e o Analytics
Adicione a versão HTTPS do site como nova propriedade no Google Search Console — a versão HTTPS é considerada um site diferente da versão HTTP para o Search Console. Envie o sitemap da versão HTTPS. No Google Analytics, atualize o URL padrão do site nas configurações da propriedade para a versão HTTPS. Monitore erros de rastreamento nos 30 dias seguintes à migração.
Perguntas e respostas sobre HTTPS
As dúvidas mais comuns sobre HTTPS, SSL e segurança de sites.
HTTPS e SSL são a mesma coisa?
Não exatamente. SSL (Secure Sockets Layer) é o protocolo de criptografia original — hoje substituído pelo TLS (Transport Layer Security), mais moderno e seguro. HTTPS é o protocolo HTTP com SSL/TLS ativo. Na prática, quando falamos em “certificado SSL” estamos nos referindo ao certificado que habilita tanto SSL quanto TLS — os termos são usados de forma intercambiável no mercado. O resultado visível é o HTTPS na URL e o cadeado na barra de endereço.
Certificado SSL gratuito é tão seguro quanto o pago?
Sim, para a maioria dos sites. O Let’s Encrypt oferece criptografia de 256 bits — o mesmo padrão dos certificados pagos de centenas de dólares. A diferença dos certificados pagos é a garantia financeira (que raramente importa para PMEs) e a validação estendida da organização (OV/EV), que não é necessária para sites institucionais e blogs. Para e-commerces e sites com transações financeiras, o certificado gratuito é tecnicamente suficiente — a decisão de usar EV é mais sobre percepção de confiança do que sobre segurança real.
HTTPS garante que o site é confiável?
HTTPS garante que a conexão é criptografada e que o domínio pertence a quem apresentou o certificado. Não garante que o site é legítimo ou que o proprietário tem boas intenções. Sites de phishing e fraudes também podem ter HTTPS — o cadeado indica segurança da conexão, não reputação do site. Por isso é importante verificar não apenas o cadeado, mas também o domínio completo antes de inserir qualquer dado sensível.
O que é mixed content e como corrigir?
Mixed content é quando uma página HTTPS carrega algum recurso (imagem, script, fonte, iframe) via HTTP. O navegador bloqueia recursos HTTP em páginas HTTPS por questão de segurança — o que pode quebrar imagens, estilos ou funcionalidades do site. Para diagnosticar, abra o Console do Chrome (F12) em qualquer página do site e procure erros de “mixed content”. Para corrigir em massa no WordPress, use o plugin Better Search Replace para substituir todas as URLs HTTP pela versão HTTPS no banco de dados.
Quantas vezes o certificado SSL precisa ser renovado?
Certificados Let’s Encrypt expiram a cada 90 dias — mas a renovação é automática quando configurada corretamente pela hospedagem. Certificados pagos geralmente têm validade de 1 ano. A maioria das hospedagens profissionais renova o Let’s Encrypt automaticamente sem nenhuma intervenção manual. Se o certificado expirar sem renovação, o navegador exibirá um aviso de erro que bloqueia o acesso ao site.
HTTPS afeta a velocidade do site?
Minimamente. O handshake TLS (processo inicial de verificação do certificado) adiciona algumas milissegundas ao primeiro carregamento de uma conexão. Com HTTP/2 — que requer HTTPS para funcionar — sites com HTTPS ativo podem ser até mais rápidos do que sites em HTTP, porque o HTTP/2 permite carregar múltiplos recursos simultaneamente em uma única conexão. Na prática, a diferença de velocidade entre HTTP e HTTPS é imperceptível para o usuário e irrelevante para os Core Web Vitals. Para entender os fatores que realmente impactam a velocidade de site, leia nosso guia completo.
Preciso de HTTPS se meu site não vende nada?
Sim. HTTPS é necessário mesmo para sites puramente informativos, por três razões: (1) o Chrome exibe “Não seguro” para qualquer site HTTP — o que prejudica a credibilidade independentemente do conteúdo; (2) o Google usa HTTPS como fator de ranqueamento desde 2014; (3) qualquer formulário de contato ou área de comentários transmite dados do visitante que merecem ser protegidos. HTTPS é o padrão mínimo de qualidade para qualquer site profissional em 2026.
Como verificar se meu site está com HTTPS configurado corretamente?
Três verificações rápidas: (1) acesse o site e veja se o cadeado aparece na barra de endereço sem nenhum aviso; (2) teste em ssllabs.com/ssltest — o relatório completo mostra a validade do certificado, a versão do protocolo TLS e potenciais vulnerabilidades; (3) verifique no Console do Chrome (F12) se há erros de mixed content. Para uma verificação completa de SEO técnico incluindo HTTPS, leia nosso guia de auditoria de SEO.
HTTPS é necessário para o Google Ads funcionar?
Sim. O Google Ads exige que as landing pages para anúncios usem HTTPS. Anúncios que direcionam para páginas HTTP são reprovados ou têm a veiculação limitada. Além disso, sem HTTPS não é possível rastrear conversões de forma confiável no Google Ads — o pixel de conversão e o Google Analytics funcionam melhor em ambientes HTTPS. Para entender como estruturar campanhas de Google Ads com landing pages que convertem, leia sobre quanto custa o Google Ads.
Todos os sites da Hostconect têm HTTPS incluso?
Sim. Todos os sites desenvolvidos e hospedados pela Hostconect têm certificado SSL Let’s Encrypt instalado, configurado e renovado automaticamente — incluso em todos os planos a partir de R$ 650/mês. Não é um serviço adicional nem uma configuração que o cliente precisa solicitar. O site já vai ao ar com HTTPS ativo, redirecionamentos corretos de HTTP para HTTPS e sem erros de mixed content.
HTTPS não é diferencial — é requisito
Em 2026, um site sem HTTPS é como uma loja com a fechadura quebrada — pode não parecer um problema imediato, mas transmite descuido, afasta visitantes e cria riscos reais. HTTPS é o requisito técnico mínimo que qualquer site profissional precisa cumprir antes de qualquer outra otimização.
Para entender como HTTPS se integra ao conjunto de boas práticas técnicas de um site profissional, leia sobre hospedagem profissional para WordPress e sobre o que é necessário para um site de pequena empresa que realmente funciona. E para uma análise completa de todos os fatores técnicos que impactam o ranqueamento, leia nosso guia sobre o algoritmo do Google.
🔒 SSL incluso em todos os planos — sem custo adicional
Todos os sites da Hostconect têm HTTPS ativo, certificado SSL configurado e renovação automática inclusos. Sem precisar solicitar, sem custo extra. Planos a partir de R$ 650/mês com site + SEO + hospedagem + SSL.
