Levolu
Voltar ao Blog
HTTPS, SSL e segurança do site: o que sua PME precisa entender (sem virar dev)
29/04/2026Levolu4 min de leituraTecnologia

HTTPS, SSL e segurança do site: o que sua PME precisa entender (sem virar dev)

Em 2018, o Google começou a marcar todo site sem HTTPS como "Não seguro" no navegador Chrome. Em 2026, isso virou padrão em todos os browsers — e usuários aprenderam a fugir do aviso. Estudo da Sectigo mostra: 84% dos visitantes abandonam um site marcado como inseguro antes mesmo de ler o título.

O incômodo é que HTTPS é fácil e barato de configurar (geralmente grátis) — e ainda assim, 1 em cada 10 PMEs brasileiras roda sites com certificado expirado, mal configurado ou nem ativo. Hoje você aprende a checar isso em 30 segundos e a saber o que pedir ao desenvolvedor.

HTTPS, SSL, certificado: o que é cada coisa em 50 palavras

SSL (ou TLS, sucessor moderno) é uma tecnologia de criptografia que protege os dados trocados entre o navegador e o servidor. HTTPS é o "endereço seguro" que aparece com cadeado fechado. Certificado SSL é o documento digital que ativa o HTTPS — emitido por uma autoridade (Let's Encrypt, DigiCert, etc.).

Por que isso importa pra empresário (3 razões diretas)

1. Confiança visual do cliente

Cadeado fechado = "ok, é seguro". "Não seguro" = "fechar aba imediatamente". O cérebro do cliente é treinado pra desconfiar do segundo. Sem HTTPS, você perde gente antes de qualquer outro fator.

2. SEO no Google

Desde 2014, o Google usa HTTPS como fator de rank. Sites sem HTTPS aparecem pior na busca. Pra PME que depende de busca local, isso é desastre silencioso.

3. Conformidade legal (LGPD)

A LGPD exige "medidas técnicas adequadas" de segurança. Coletar dados (formulário de contato, e-mail, telefone) em site sem HTTPS já configura potencial não-conformidade. Multa pode chegar a R$ 50 milhões por incidente.

Como saber se seu site tem HTTPS funcionando (30 segundos)

Abra o seu site num navegador e olhe a barra de endereço:

  • 🔒 cadeado fechado + URL começando com https:// = OK.
  • ⚠️ "Não seguro" ou cadeado riscado = problema sério.
  • 🔓 cadeado aberto + aviso = configuração quebrada (mistura de HTTPS e HTTP).

Se quiser certeza técnica, acesse ssllabs.com/ssltest, cole sua URL e veja a nota. Acima de B = OK. Abaixo = vulnerabilidades.

Os 5 erros mais comuns (que talvez sua PME tenha)

1. Certificado expirado

SSL gratuito (Let's Encrypt) expira em 90 dias e precisa ser renovado automaticamente. Quando o auto-renew quebra, ninguém percebe — até o cliente abrir e ver "Sua conexão não é privada". Pode ficar dias assim.

2. Conteúdo misturado (mixed content)

Site HTTPS que carrega imagens, scripts ou CSS via HTTP. O navegador identifica e mostra cadeado quebrado. Acontece muito em sites antigos que migraram pra HTTPS sem ajustar todos os links internos.

3. HTTP não redireciona pra HTTPS

Cliente digita www.suaempresa.com.br sem HTTPS na frente, e o site abre... em HTTP. Sem redirecionamento 301 forçado, metade dos seus visitantes acessa a versão insegura. Configuração simples mas frequentemente esquecida.

4. Subdomínios sem SSL

Site principal (suaempresa.com.br) tem SSL, mas blog (blog.suaempresa.com.br) ou loja (loja.suaempresa.com.br) não. Cada subdomínio (do seu domínio próprio) precisa de SSL próprio — ou um wildcard certificate.

5. Versão de TLS antiga

SSL 3.0, TLS 1.0 e 1.1 estão obsoletos. Hoje, padrão é TLS 1.2 ou 1.3. Servidores antigos rodando TLS 1.0 falham em alguns navegadores e em testes de segurança.

Quanto custa um certificado SSL (e o que vale a pena)

TipoCustoPara quem
Let's Encrypt (DV)R$ 0 (grátis)90% das PMEs — institucional, blog, e-commerce básico
Comodo/Sectigo DomainR$ 80-200/anoQuando hospedagem não suporta Let's Encrypt
Wildcard SSLR$ 200-600/anoQuando tem múltiplos subdomínios
EV SSL (Extended Validation)R$ 800-2.500/anoBancos, e-commerce de luxo, fintechs

Resumo: 9 em cada 10 PMEs precisam só de Let's Encrypt grátis. Quem te empurra um SSL pago de R$ 500/ano "pra ter mais segurança" geralmente está empurrando algo desnecessário.

Mas SSL não é a única segurança

SSL/HTTPS protege a comunicação entre cliente e servidor. Não protege o site contra:

  • Hackeamento por brecha de software (WordPress desatualizado, plugin antigo).
  • Ataques de força bruta na senha do admin.
  • Roubo de banco de dados por SQL injection.
  • DDoS (sobrecarga proposital).

Pra essas ameaças, é preciso:

  • Atualização periódica de CMS, plugins, dependências.
  • Senhas fortes + autenticação em 2 fatores no painel.
  • Firewall de aplicação (WAF) — Cloudflare grátis resolve.
  • Backup automático diário.

O checklist do empresário sobre segurança

  1. "Meu site tem HTTPS em todas as páginas e subdomínios?" — sim.
  2. "O certificado renova automaticamente?" — sim.
  3. "Tenho aviso quando algo quebra?" — configure monitoramento (UptimeRobot grátis).
  4. "O painel administrativo tem 2FA?" — exigido em 2026.
  5. "Atualizações de plugin/CMS são feitas mensalmente?" — não pode ser anual.
  6. "Cloudflare ou WAF está ativo?" — versão grátis já protege contra a maioria dos ataques.

O custo de não ter SSL/HTTPS configurado

Pra PME média:

  • Perda de visitas: 30-50% dos cliques em anúncios são abandonados ao ver "Não seguro".
  • Queda de SEO: rank cai ~5-15 posições.
  • Risco LGPD: multa de até R$ 50 milhões em caso de incidente.
  • Reputação: uma vez "queimado" como site inseguro, é difícil recuperar confiança do cliente.

Tudo isso pra economizar... zero reais. Let's Encrypt é grátis, configuração leva 1h.

O resumo de 1 frase

HTTPS é como o uniforme do funcionário: ninguém repara quando está, mas todo mundo nota quando falta. É a barra mínima de operar um site em 2026 — e qualquer fornecedor sério configura grátis em poucas horas.

👉 Quero meu site seguro e profissional — Levolu

Gostou do conteúdo?

Fale com a Levolu e descubra como podemos aplicar essas estratégias no seu negócio.

Falar no WhatsApp
#HTTPS#certificado SSL#segurança site#site seguro#cadeado verde