Há cinco anos, vender um "site com SSL" ainda era uma feature de venda. O cadeado verde na barra. A frase "o seu site fica seguro". Hoje, é o mínimo que se espera de um site profissional, e ter site sem isso já não é falha técnica — é sinal de negligência.
O que o navegador faz quando não há HTTPS
Chrome, Safari, Firefox, Edge: todos mostram "Não seguro" na barra de endereço de qualquer página HTTP. Formulários com inputs sensíveis são bloqueados ou geram avisos vermelhos. Em mobile, o aviso aparece em ecrã cheio antes de o utilizador conseguir submeter qualquer coisa.
Visto do ponto de vista de quem compra: o visitante chega ao site, vê o aviso, e fecha. Não importa quão bom é o produto. Confiança quebrou-se em três segundos.
Onde HTTPS já é tecnicamente obrigatório
Service Workers (PWA, offline-first) só funcionam em HTTPS. HTTP/2 e HTTP/3 também. Geolocalização, câmara, microfone, push notifications — todas dependem de contexto seguro. APIs modernas, em geral, recusam-se a correr fora de HTTPS.
Em prática: qualquer aplicação minimamente moderna precisa de HTTPS para sequer arrancar.
Quanto custa
Zero. Let's Encrypt emite certificados gratuitos com renovação automática há quase uma década. Cloudflare oferece SSL flexível também grátis. Qualquer alojamento sério em 2026 instala SSL com um clique. Não há desculpa de custo — e não há, na verdade, desculpa nenhuma.
O que verificar agora
- O domínio principal redireciona automaticamente de HTTP para HTTPS
- Todos os subdomínios (www, app, admin) também forçam HTTPS
- O certificado é válido em todos os browsers e renova-se sozinho
- HSTS está activo (header Strict-Transport-Security)
- Não há mixed content — recursos a serem carregados via HTTP dentro de uma página HTTPS
Se algum destes pontos não passa, o problema não é decorativo. É operacional.