O que é HTTPS? Essa pergunta parece técnica, mas a resposta impacta diretamente qualquer pessoa que tenha um site, blog ou loja virtual — e também qualquer usuário que navega pela internet todos os dias [1].
O pequeno “S” no final do HTTPS faz uma diferença enorme. Ele significa Secure — seguro — e indica que toda a comunicação entre o navegador do visitante e o servidor do site passa por uma camada de criptografia [2]. Sem essa proteção, dados como senhas, números de cartão de crédito e informações pessoais trafegam de forma exposta, vulneráveis à interceptação por terceiros mal-intencionados [3].
Neste guia completo, você vai aprender o que é HTTPS, como ele funciona tecnicamente, qual é o papel do certificado SSL/TLS, por que o HTTPS é fator de ranqueamento no Google e como migrar seu site para HTTPS de forma segura.
O que é HTTPS?
HTTPS (HyperText Transfer Protocol Secure) é o protocolo de comunicação usado para transferir dados entre o navegador do usuário e o servidor de um site, com criptografia ativa [1].
Em termos simples: é o HTTP tradicional com uma camada de segurança adicional fornecida pelo protocolo SSL/TLS (Secure Sockets Layer / Transport Layer Security) [2].
Quando você acessa um site com HTTPS:
- Os dados trocados entre você e o servidor ficam criptografados — ilegíveis para qualquer terceiro que intercepte a conexão.
- A identidade do site é verificada por uma autoridade certificadora confiável.
- A integridade dos dados é garantida — nenhum dado é alterado durante a transmissão [3].
O HTTPS é visualmente identificado pelo ícone de cadeado na barra de endereços do navegador e pelo prefixo https:// na URL [1].
Você também pode se interessar por:
- Como fazer uma auditoria de SEO em 2026: do Técnico ao GEO
- Otimização para LLMs: Guia de Conteúdo na Era da IA
- O que é Google Knowledge Graph? Como funciona e sua política
HTTP vs. HTTPS: qual é a diferença?
A diferença entre HTTP e HTTPS vai muito além de uma letra [2]:
| Critério | HTTP | HTTPS |
|---|---|---|
| Criptografia | Nenhuma | SSL/TLS ativa |
| Segurança dos dados | Dados expostos em trânsito | Dados criptografados |
| Autenticação | Não verifica identidade | Certificado validado por CA |
| Indicador no navegador | “Não seguro” | Cadeado verde/cinza |
| Porta padrão | 80 | 443 |
| Impacto no SEO | Penalizado pelo Google | Fator de ranqueamento positivo |
| Confiança do usuário | Baixa | Alta |
Em 2014, o Google passou a usar o HTTPS como sinal de ranqueamento [1]. Em 2018, o navegador Chrome começou a marcar todos os sites HTTP como “não seguros” na barra de endereços [3]. Desde então, a migração para HTTPS deixou de ser opcional e se tornou obrigatória para qualquer site que queira manter credibilidade e posicionamento orgânico.
O que é SSL/TLS e qual é a relação com o HTTPS?
Para entender completamente o que é HTTPS, é preciso entender o papel do SSL/TLS — a tecnologia que torna o HTTPS possível.
O que é SSL?
SSL (Secure Sockets Layer) é o protocolo criptográfico original desenvolvido para proteger as comunicações na internet [2]. Ele cria um canal criptografado entre o navegador e o servidor, impedindo que terceiros leiam ou modifiquem os dados transmitidos.
O que é TLS?
TLS (Transport Layer Security) é a versão atualizada e mais segura do SSL [3]. Tecnicamente, os certificados modernos utilizam o protocolo TLS — não mais o SSL original. Porém, o termo “SSL” ainda é amplamente utilizado no mercado para se referir a ambos. Por isso, é comum ver as expressões “certificado SSL”, “SSL/TLS” e “certificado HTTPS” sendo usadas de forma intercambiável [2].
Como o HTTPS funciona: o handshake TLS
O processo de estabelecimento de uma conexão HTTPS segura é chamado de handshake TLS (aperto de mão). Ele ocorre em milissegundos, de forma transparente para o usuário [2].
Veja o passo a passo:
- O navegador solicita acesso ao site e pede que o servidor se identifique.
- O servidor responde enviando seu certificado SSL/TLS, que contém a chave pública e as informações da autoridade certificadora.
- O navegador verifica se o certificado é válido e emitido por uma autoridade confiável (CA — Certificate Authority) [3].
- O navegador cria uma chave de sessão — uma chave temporária e única para aquela conexão — e a criptografa com a chave pública do servidor.
- O servidor descriptografa a chave de sessão usando sua chave privada.
- A partir desse ponto, toda a comunicação entre navegador e servidor é criptografada usando a chave de sessão [2].
Esse mecanismo usa dois tipos de criptografia em sequência:
- Criptografia assimétrica (chave pública/privada) → para estabelecer a conexão inicial de forma segura.
- Criptografia simétrica (chave de sessão) → para criptografar os dados trafegados com maior eficiência [3].
O que é um certificado SSL/TLS?
O certificado SSL/TLS é um arquivo digital instalado no servidor do site que habilita o protocolo HTTPS [1]. Ele funciona como uma espécie de “carteira de identidade” do site — comprova que o domínio é legítimo e que a conexão é segura.
O que um certificado SSL/TLS contém?
- Nome do domínio para o qual foi emitido.
- Nome da organização proprietária (quando aplicável).
- Chave pública do servidor.
- Nome da Autoridade Certificadora (Certificate Authority — CA) que o emitiu.
- Data de emissão e data de expiração [2].
Tipos de certificado SSL/TLS:
| Tipo | Validação | Ideal para |
|---|---|---|
| DV (Domain Validation) | Verifica apenas o domínio | Blogs, sites informativos |
| OV (Organization Validation) | Verifica domínio + organização | Sites empresariais |
| EV (Extended Validation) | Validação completa e rigorosa | Bancos, e-commerces, sistemas críticos |
| Wildcard | Protege domínio + subdomínios | Sites com múltiplos subdomínios |
| Multi-domínio (SAN) | Protege múltiplos domínios | Empresas com vários sites [3] |
Validade do certificado:
Os certificados SSL/TLS têm validade máxima de 13 meses (aproximadamente 398 dias) [1]. Após esse período, precisam ser renovados — caso contrário, os navegadores exibirão alertas de segurança para os visitantes, o que gera queda imediata de confiança e tráfego.
Como obter um certificado SSL/TLS gratuito?
Sim, é possível obter um certificado SSL/TLS gratuitamente. As principais opções são:
- Let’s Encrypt — autoridade certificadora sem fins lucrativos que oferece certificados DV gratuitos e automatizados [2].
- Cloudflare — oferece certificados SSL gratuitos para sites que utilizam sua rede.
- Hospedagens — a maioria das plataformas de hospedagem modernas (como Hostgator, Locaweb e WP Engine) inclui certificado SSL gratuito nos planos [3].
Por que o HTTPS é essencial para o SEO?
O HTTPS é um fator de ranqueamento oficial do Google desde 2014 [1]. Isso significa que sites com HTTPS ativo têm uma vantagem de posicionamento orgânico em relação a sites que ainda utilizam HTTP puro.
Os impactos diretos do HTTPS no SEO são [2]:
- Sinal positivo de ranqueamento: o Google prioriza sites seguros na SERP.
- Evita penalização: sites HTTP são marcados como “não seguros” pelo Chrome — o que eleva a taxa de rejeição e prejudica métricas de engajamento [3].
- Confiança do usuário: o cadeado na barra de endereços aumenta a credibilidade percebida, o que influencia o tempo na página e a taxa de conversão.
- Dados preservados no Google Analytics: em uma conexão HTTPS para HTTP, o referral de origem é perdido — o tráfego aparece como “direto”, distorcendo a análise [1].
- Requisito para HTTP/2 e HTTP/3: os protocolos mais modernos e rápidos de transferência de dados exigem HTTPS ativo [2].
Portanto, ter HTTPS não é apenas uma questão de segurança — é uma condição básica para competir no ranqueamento orgânico em 2026.
HTTPS e a segurança do usuário:
Além do SEO, o HTTPS protege os visitantes do seu site contra três tipos principais de ataques [3]:
Ataques de interceptação (Man-in-the-Middle):
Sem criptografia, um atacante posicionado entre o usuário e o servidor pode interceptar e ler todos os dados trafegados — senhas, dados de cartão, mensagens [2]. O HTTPS torna esses dados ilegíveis mesmo que sejam interceptados.
Ataques de adulteração de conteúdo:
Sem HTTPS, é possível injetar código malicioso ou modificar o conteúdo de uma página enquanto ele trafega pela rede. Com HTTPS, a integridade dos dados é garantida — qualquer adulteração é detectada e a conexão é encerrada [1].
Sites falsos (Phishing):
O certificado SSL/TLS autentica a identidade do site por meio de uma CA confiável. Isso dificulta — embora não impeça completamente — a criação de sites fraudulentos que se passam por instituições legítimas [3].
Como migrar seu site de HTTP para HTTPS?
A migração para HTTPS exige atenção para não causar perda de tráfego ou problemas de indexação [1]. Cada passo abaixo é interdependente — pular qualquer um deles pode resultar em URLs duplicadas, queda de ranqueamento ou alertas de segurança para os visitantes [2].
- Obtenha e instale o Certificado SSL/TLS
O primeiro passo é adquirir um certificado SSL/TLS válido e instalá-lo no servidor do seu site [2]. A maioria das hospedagens modernas oferece essa instalação de forma automática, com um clique no painel de controle.
Se a sua hospedagem não incluir certificado gratuito, utilize o Let’s Encrypt — uma autoridade certificadora sem fins lucrativos que emite certificados DV (Domain Validation) gratuitamente [3]. Para sites de e-commerce ou sistemas que lidam com dados sensíveis, considere certificados OV ou EV, que oferecem níveis mais rigorosos de validação.
Após a instalação, verifique se o site já carrega corretamente emhttps://seudominio.com.brantes de avançar para os próximos passos. - Configure redirecionamentos 301 de HTTP para HTTPS:
Este é o passo mais crítico de toda a migração [1]. O redirecionamento 301 informa ao Google que a versão definitiva e permanente do seu site agora é a HTTPS — transferindo toda a autoridade de SEO acumulada pelas URLs antigas para as novas [2].
Sem os redirecionamentos 301, o Google tratará as versões HTTP e HTTPS como páginas diferentes, gerando conteúdo duplicado e diluindo a autoridade do domínio.
Como configurar: no servidor Apache, adicione as seguintes linhas ao arquivo.htaccess:RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
No Nginx, adicione ao bloco de configuração do servidor:server { listen 80; server_name seudominio.com.br; return 301 https://$host$request_uri; }
Se o seu site usa WordPress, plugins como Really Simple SSL fazem essa configuração automaticamente [1]. - Atualize todos os links internos:
Após configurar os redirecionamentos, atualize manualmente — ou com um plugin — todos os links internos do site para apontar diretamente para as URLs HTTPS, sem depender do redirecionamento [3].
Links internos que ainda apontam para HTTP geram redirecionamentos desnecessários que aumentam o tempo de carregamento e desperdiçam o crawl budget do Googlebot. No WordPress, ferramentas como o plugin Better Search Replace permitem substituir todas as ocorrências dehttp://porhttps://no banco de dados com segurança.
Lembre-se também de atualizar links em: menus de navegação, rodapé, widgets, imagens incorporadas e qualquer script externo referenciado no código [2]. - Atualize o Sitemap XML e envie ao Google Search Console:
Gere um novo sitemap XML contendo exclusivamente as URLs HTTPS do seu site e envie-o ao Google Search Console [1]. Isso acelera o processo de reindexação das novas URLs pelo Googlebot.
Se o seu site usa WordPress com o plugin Yoast SEO ou Rank Math, o sitemap é atualizado automaticamente após a migração. Verifique se todas as URLs listadas no sitemap usam o prefixohttps://antes de enviá-lo [3].
No Google Search Console, acesse: Sitemaps → Adicionar novo sitemap e insira a URL completa:https://seudominio.com.br/sitemap.xml. - Adicione a versão HTTPS como propriedade principal no Google Search Console:
O Google Search Console trata versões HTTP e HTTPS como propriedades separadas [1]. Por isso, após a migração, adicione a nova versão HTTPS como uma propriedade independente no Search Console.
Para fazer isso: acesse o Search Console, clique em Adicionar propriedade e cadastrehttps://seudominio.com.br. Verifique a propriedade e defina-a como principal. Isso garante que os dados de desempenho, erros de cobertura e Core Web Vitals sejam monitorados corretamente para a versão segura do site [2]. - Atualize o domínio no Google Analytics:
Acesse o Google Analytics 4 e confirme que o domínio cadastrado utiliza o prefixo
https://. Se necessário, atualize o campo de URL padrão nas configurações da propriedade [3].
Além disso, verifique se o código de rastreamento do GA4 está instalado corretamente nas páginas HTTPS. Sem essa atualização, os relatórios de tráfego podem apresentar inconsistências — especialmente na atribuição de fontes, onde tráfego de referência pode ser contabilizado como “direto” indevidamente [1]. - Teste e valide a migração:
Antes de considerar a migração concluída, teste todos os aspectos da nova configuração com ferramentas especializadas [3]:
SSL Labs (ssllabs.com/ssltest): avalia a qualidade da implementação do certificado SSL/TLS, identificando vulnerabilidades, versões inseguras do protocolo e configurações incorretas. O resultado ideal é nota A ou A+.
Google Search Console: verifique a aba Cobertura para identificar URLs com erros de indexação, Sitemaps para confirmar o processamento e Melhorias para checar os Core Web Vitals após a migração [1].
Ferramenta de Inspeção de URL do Search Console: use para validar se as URLs HTTPS estão sendo indexadas corretamente e se os redirecionamentos 301 estão funcionando como esperado.
Screaming Frog: rastreie todo o site em busca de links internos ainda apontando para HTTP, imagens com URLs inseguras (mixed content) e redirecionamentos em cadeia que possam prejudicar a velocidade [2]. - Monitore o tráfego e o ranqueamento nas semanas seguintes
Após a migração, o Google precisa de tempo para rastrear, reindexar e reclassificar as novas URLs HTTPS [2]. Esse processo geralmente leva de 1 a 4 semanas, dependendo do tamanho do site e da frequência de rastreamento do Googlebot.
Durante esse período, monitore diariamente [1]:
Impressões e cliques no Google Search Console — quedas abruptas podem indicar problemas de redirecionamento ou indexação.
Tráfego orgânico no Google Analytics — compare com o período anterior à migração.
Erros de cobertura no Search Console — URLs com erro 404 ou redirecionamentos incorretos.
Alertas de conteúdo misto (mixed content) — recursos como imagens, scripts ou fontes ainda carregados via HTTP dentro de páginas HTTPS [3].
⚠️ Atenção: Mixed content — quando uma página HTTPS carrega recursos via HTTP — é um dos erros mais comuns após a migração. Ele pode fazer o navegador exibir um aviso de segurança mesmo com o certificado ativo. Use o Why No Padlock (whynopadlock.com) para identificar e corrigir esses recursos rapidamente [2].
Perguntas Frequentes (FAQ):
HTTPS (HyperText Transfer Protocol Secure) é o protocolo de comunicação segura usado na internet. Ele é a versão criptografada do HTTP, protegendo os dados trocados entre o navegador do usuário e o servidor do site por meio do protocolo SSL/TLS [1].
HTTP transmite dados sem criptografia — qualquer terceiro pode interceptar e ler as informações. HTTPS criptografa toda a comunicação com SSL/TLS, garantindo confidencialidade, integridade e autenticidade dos dados [2].
Não é uma exigência legal para todos os sites, mas é praticamente obrigatório na prática. Sem HTTPS, o Google Chrome exibe a mensagem “não seguro”, o Google penaliza o ranqueamento e os usuários tendem a abandonar o site [3].
Não exatamente. O SSL/TLS é o protocolo de criptografia que viabiliza o HTTPS. O HTTPS é o protocolo de comunicação que usa o SSL/TLS. Em termos práticos: o certificado SSL/TLS é instalado no servidor e, a partir disso, o site passa a funcionar com HTTPS [1].
Sim. O Google utiliza o HTTPS como fator de ranqueamento oficial desde 2014 [1]. Sites sem HTTPS são marcados como inseguros e tendem a perder posições para concorrentes com certificado ativo.
Existem opções gratuitas — como o Let’s Encrypt — e pagas, que variam de acordo com o nível de validação (DV, OV ou EV) e o número de domínios protegidos. A maioria das hospedagens modernas inclui certificado SSL gratuito nos planos [2] [3].
Os certificados SSL/TLS têm validade máxima de 13 meses (398 dias) [1]. Após esse prazo, precisam ser renovados para que o site continue exibindo o cadeado de segurança e operando com HTTPS.
Referências
[1] Fortinet — O que é HTTPS? Uma definição e como mudar para HTTPS
[2] Cloudflare — Como funciona o SSL? Certificados SSL e TLS.
[3] DigiCert — O que é SSL, TLS e HTTPS?
[4] AWS — O que é um certificado SSL/TLS? Amazon Web Services.
