Voltar ao Diário
SegurançaNº 00202 de junho de 20264 min

HTTPS já não é feature. É baseline.

Em 2026, qualquer site sem certificado SSL está a dizer ao visitante para ir embora — e o navegador faz questão de o sublinhar.

Há cinco anos, vender um "site com SSL" ainda era uma feature de venda. O cadeado verde na barra. A frase "o seu site fica seguro". Hoje, é o mínimo que se espera de um site profissional, e ter site sem isso já não é falha técnica — é sinal de negligência.

O que o navegador faz quando não há HTTPS

Chrome, Safari, Firefox, Edge: todos mostram "Não seguro" na barra de endereço de qualquer página HTTP. Formulários com inputs sensíveis são bloqueados ou geram avisos vermelhos. Em mobile, o aviso aparece em ecrã cheio antes de o utilizador conseguir submeter qualquer coisa.

Visto do ponto de vista de quem compra: o visitante chega ao site, vê o aviso, e fecha. Não importa quão bom é o produto. Confiança quebrou-se em três segundos.

Onde HTTPS já é tecnicamente obrigatório

Service Workers (PWA, offline-first) só funcionam em HTTPS. HTTP/2 e HTTP/3 também. Geolocalização, câmara, microfone, push notifications — todas dependem de contexto seguro. APIs modernas, em geral, recusam-se a correr fora de HTTPS.

Em prática: qualquer aplicação minimamente moderna precisa de HTTPS para sequer arrancar.

Quanto custa

Zero. Let's Encrypt emite certificados gratuitos com renovação automática há quase uma década. Cloudflare oferece SSL flexível também grátis. Qualquer alojamento sério em 2026 instala SSL com um clique. Não há desculpa de custo — e não há, na verdade, desculpa nenhuma.

O que verificar agora

  • O domínio principal redireciona automaticamente de HTTP para HTTPS
  • Todos os subdomínios (www, app, admin) também forçam HTTPS
  • O certificado é válido em todos os browsers e renova-se sozinho
  • HSTS está activo (header Strict-Transport-Security)
  • Não há mixed content — recursos a serem carregados via HTTP dentro de uma página HTTPS

Se algum destes pontos não passa, o problema não é decorativo. É operacional.

Referências
  1. 01Mozilla MDN — HTTPS overview
  2. 02Let's Encrypt — Free, automated SSL
Também:
SegurançaNº 009

O ataque que ninguém vê chega pelo formulário de contacto do teu site

O formulário de contacto parece inofensivo. É a porta mais aberta que tens, e quase ninguém a tranca.

SegurançaNº 004

Como um certificado SSL expirado tirou a tua loja do Google em 48 horas

Um certificado expira a uma quarta-feira às 03:14. Na sexta de manhã o tráfego orgânico colapsou. Não foi azar — foi negligência mensurável.

Voltar ao Diário