InícioBlogFerramentasGuia completo sobre HTTPS e certificado SSL

Guia completo sobre HTTPS e certificado SSL

Conheça o guia definitivo sobre HTTPS e SSL e aprenda como implementar corretamente o certificado digital em seu site, blog ou loja virtual.

Este post foi atualizado pela última vez há mais de 3 meses.

Para bom entendedor, quando se faz uma conexão a um servidor web usando o HTTPS, a letra “s” significa seguro. Ou seja, a conexão HTTP é feita através de uma camada de segurança, o SSL (Secure Sockets Layer).

O SSL é um protocolo que protege as comunicações entre o cliente e o servidor, garantindo uma camada de criptografia que impede terceiros de “escutar” a sua conversa de alguma forma.

E com o HTTPS, todas as comunicações entre navegador e servidor são criptografadas, garantindo que nenhum espertinho — seja NSA, Abin ou o sobrinho curioso — vai conseguir ler o que o usuário está fazendo.

Guia completo sobre HTTPS e certificado SSL

Tudo sobre HTTPS e certificado SSL

Confira nossa seção de perguntas e respostas abaixo e tire todas as suas dúvidas sobre o assunto.

Quais são os protocolos existentes?

Atualmente existem dois tipos de protocolos: o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security). Ambos usam um sistema assimétrico de chaves, o PKI (Public Key Infrastructure), com uma chave pública e outra privada.

Quais as vantagens?

  • Criptografia de ponta a ponta: as comunicações entre navegador e site são protegidas e ficam a salvo de olhos “curiosos”;
  • Segurança de dados: com a criptografia, a segurança de dados sensíveis, como identidade e cartões de crédito, é mais segura e garantida.

É difícil de instalar?

Pode ser que instalar o SSL seja difícil quando o próprio cliente precisa fazer isso. Explico: é necessário ter domínio de algumas ferramentas que excedem as possibilidades de quem eventualmente não estudou as mesmas coisas que os administradores de sistema em geral.

Porém, aqui na PortoFácil, o cliente só precisa abrir um chamado de suporte que a gente cuida de toda a parte técnica. Ou, se não quiser nem esperar, o cliente pode usar a Mônica para Clientes e adicionar seu certificado, com um único clique.

Custa caro implementar o HTTPS?

Este é um mito que há muito deixou de fazer sentido. Ou seja, já faz muito tempo que existe a possibilidade de HTTPS de graça para os usuários da CloudFlare. Além de clientes PortoFácil também terem a opção de implementar gratuitamente os certificados SSL através da Mônica para Clientes.

É difícil de manter?

Em se tratando de certificados gratuitos da Cloudflare não há dificuldade alguma em manter o certificado, até porque não há nada a se fazer. O servidor sozinho trata de manter o certificado sempre atualizado e funcional.

E nos raros momentos em que algum problema realmente ocorre, é para isso que existe o Suporte Técnico da PortoFácil, sempre disponível para ajudar a resolver qualquer situação.

Incompatibilidade com o site atual, imagens quebradas, etc…

Em alguns casos as pessoas não conseguem fazer o HTTPS funcionar corretamente porque algum plugin, template WordPress ou código de terceiros, impede a exibição do “cadeadinho” (o indicador no navegador de que todos os elementos na página utilizam o protocolo HTTPS para carregar).

Em um caso desses, o “problema” deve muito mais ser encarado como um alerta de que o site está fazendo uso de componentes excessivamente antigos. Tão antigos que nem levam em conta a necessidade cada vez mais presente de que as páginas disponíveis na web sejam todas compatíveis com HTTPS.

É mais positivo utilizar este inconveniente do “cadeadinho quebrado” como incentivo para fazer uma limpeza no site do que para impedir um passo evolutivo inevitável.

Quando o cliente tem esse tipo de problema com o site nós sempre ajudamos a identificar onde está a causa e sempre que possível apontamos uma solução. Inclusive, já houve um ou dois casos que tivemos de fazer uma mágica no servidor para forçar a compatibilidade dos componentes com o HTTPS.

Como ficam os links feitos para o site em versão HTTP?

Uma implementação bem feita do HTTPS vai incluir um redirecionamento 301 da versão HTTP do site para forçar a versão HTTPS o tempo inteiro. A partir daí, qualquer cliente — incluindo os bots — que tentar acessar a versão antiga será automaticamente redirecionado para a versão correta.

O que eu preciso fazer antes de instalar o SSL no meu site?

Para começar, é importante certificar-se antes de instalar o HTTPS em seu domínio, dos seguintes pontos:

  • Que seu tema esteja preparado para o HTTPS. Por exemplo: não usando Google Fonts ou outros recursos externos em HTTP;
  • Que seus anúncios sejam todos HTTPS. Se algum não for, troque a rede de anúncios;
  • Que seus plugins também sejam compatíveis com HTTPS. Caso contrário, troque por outro que faça a mesma coisa e seja melhor programado.

Como ter um certificado SSL grátis?

Clientes da PortoFácil têm certificados gratuitos SSL, tanto através da Mônica para Clientes tanto via cPanel.

instalador de certificados gratuitos SSL automatizado da Mônica faz tudo para você:

  • Obtém o certificado gratuito;
  • Instala o SSL no domínio;
  • Altera o banco de dados para converter todos os links HTTP para HTTPS;
  • Instala o redirecionamento 301 de HTTP para HTTPS;
  • Executa a limpeza geral de todos os caches de servidor.

Como habilito HSTS no meu site?

Se você realmente quiser HSTS em seu domínio é só entrar em contato com nosso suporte técnico. Mas é bom ter certeza de que é realmente necessário ou útil ter HSTS em seu site.

Se você é daqueles que não sabe o que seja esse tal de HSTS (HTTP Strict Transport Security), dê uma conferida na Wikipedia.

Aprenda como ativar o certificado SSL grátis da Cloudflare

Que a Cloudflare é mais que um canivete suiço, todo mundo já está cansado de saber. Mas o que uma boa parte dos criadores de conteúdo ainda não sabem é a possibilidade de ativar um certificado SSL 100% grátis usando a ferramenta de cache online.

HTTPS de graça para os usuários da CloudFlare

Uma das principais vantagens de ter um certificado SSL gratuito da Cloudflare é do fato da simplicidade para com sua configuração e instalação. Ao contrário de alguns certificados que podem ter sua instalação bastante complexa para os meros mortais, seja em servidores dedicados, servidores VPS, e até mesmo em máquinas compartilhadas.

Entretanto, é possível ter criptografia SSL para qualquer domínio sem precisar gastar um único centavo com certificado, ou com qualquer outra coisa. Principalmente sem precisar mexer em quase nada em seu site, usando apenas os serviços da CloudFlare.

O que é o SSL da CloudFlare

CloudFlare é um serviço de cache de sites capaz de acelerar o tempo de carregamento das páginas, assim como diminuir a carga do servidor. Eles oferecem planos gratuitos (muito bons) e planos pagos, para quem precisa dos recursos adicionais. E em ambos oferecem o serviço de aceleração web rodando (para o usuário final) em HTTPS.

É claro que o certificado digital, neste caso, é “fraquinho”, e não presta para sites de e-commerce, por exemplo, que precisam ter forte ênfase em segurança dos dados. Mas para blogs e sites de conteúdo em geral, a criptografia oferecida nos planos gratuitos da CloudFlare é perfeita. Pois é suficiente para que o Google reconheça o site como 100% seguro.

Configurando a CloudFlare para usar HTTPS

Não é o objetivo aqui ensinar a configurar nem redirecionar domínios na CloudFlare. Basta dizer que o procedimento de adicionar o site na CloudFlare é bastante simples:

  • Adiciona-se a URL do domínio;
  • Aguardam-se os segundos necessários. Algo em torno de 40 segundos para que a CloudFlare faça uma varredura dos DNSs atuais;
  • E por fim trocam-se os name servers do domínio pelos novos, informados pela CloudFlare.

Uma vez que o domínio já esteja na CloudFlare é necessário fazer uma breve configuração dele antes de considerar o site como pronto para uso sob HTTPS.

Além disso, é importante frisar que o site NÃO pode estar pausado na CloudFlare, e que o serviço de cache esteja ATIVO para o domínio principal, para www e também para qualquer subdomínio em que queiramos usar o SSL.

Passo a passo para ativar o certificado SSL na Cloudflare

Para ativar o certificado SSL na Cloudflare é necessário acessar o domínio desejado, no painel de controle da ferramenta. Em seguida, clicar no menu lateral “SSL/TLS“, conforme imagem ilustrativa abaixo, em que será necessário escolher o tipo de certificado HTTPS desejado.

Nossa recomendação é que você escolha a encriptação “Flexible” ou a encriptação “Full“. A primeira, oferece criptografia entre o navegador e a Cloudflare e a segunda faz a encriptação de ponta a ponta, utilizando-se de um certificado que já esteja pré-instalado no seu servidor.

Em caso de dúvida na escolha, e se você é cliente da PortoFácil, recomendamos que abra um ticket de suporte para que nossa equipe lhe forneça a melhor opção.

Após a execução da escolha do modo de encriptação do certificado, vá até a aba Speed > Otimização > Otimização do Protocolo, e ative a opção HTTP/3 (com QUIC), conforme a outra imagem abaixo.

Desta forma, com a chegada do protocolo HTTP/3, seu domínio com SSL ativado via Cloudflare, fica preparado para servir as páginas mais rapidamente e de forma ainda mais segura.

Feito isto é só garantir que seu site seja capaz de funcionar em HTTPS. E esperar o Google começar a melhorar sua classificação nas páginas de resultado.

Note que é conveniente aguardar alguns minutos antes de tentar acessar o site por HTTPS. Uma vez que a estrutura em nuvem da CloudFlare demanda um certo tempo para que as configurações propaguem por toda a rede deles.

Bônus: configurando o WordPress

Além de configurar a CloudFlare para o uso do HTTPS, é necessário configurar o WordPress, ou qualquer que seja sua plataforma de publicação, para forçar o uso das URLs corretas no site inteiro.

Sendo assim, a má configuração do WP poderá acarretar erros de segurança relacionados a recursos não criptografados carregados dentro de páginas criptografadas.

Para resolver isso, basta ir em Configurações > Gerais, e certificar-se que o endereço do site, nos dois campos de URL, estejam usando a URL com https e não apenas http.

Isso por si só já deveria ser suficiente para o WP operar apenas em HTTPS. Entretanto, plugins mal escritos podem referenciar scripts, imagens, folhas de estilo ou fontes externas sem respeitar o protocolo geral do site. Neste caso caberá ao webmaster a tarefa de resolver este tipo de problema.

Por fim, você também possui a opção de instalar e ativar o plugin Really Simple SSL para fazer este serviço. Este plugin vai detectar as configurações internas do seu site automaticamente, deixando-o pronto para executar o HTTPS.

Como corrigir erros e problemas comuns de SSL

Problemas de Mixed Content com Certificados SSL

Em bom português, Mixed Content ou conteúdo misto, é o que acontece quando o HTML inicial de uma página entra por uma conexão protegida HTTPS, mas outros recursos usados no site (imagens, vídeos, CSS ou scripts, por exemplo) usam conexões HTTP, desprotegidas.

A grande questão é que essa mistura de conteúdos enfraquece a segurança do conjunto da página inteira, pois algumas solicitações ficam vulneráveis a ataques. E, além de modificar o conteúdo, é possível muitas vezes, controlar totalmente a página.

Mixed Content: como encontrar e resolver

Encontrar a fonte de Mixed Content pode ficar mais fácil se você usar o site Why no Padlock? O Google também tem dicas muitas para você entender onde estão os problemas no Google Developers.

Depois de encontrar as fontes de problemas, é preciso consertar todas as URL’s que estão em HTTP. Existe a possibilidade que você esteja usando um link vencido e que o conteúdo já esteja em HTTPS. Neste caso, basta verificar e depois trocar o http:// por https://.

Só que muitas vezes a fonte do problema não está em HTTPS. Nestes casos, ou você usa uma fonte diferente e criptografada, ou baixa o conteúdo para o seu site. Ou, caso nenhuma das opções anteriores seja possível, exclui o recurso do site ou da página.

O trabalho manual funciona muito bem para sites pequenos, já nos grandes, pode ser muito difícil controlar todo o conteúdo carregado. Uma das formas recomendadas é usar a Política de Segurança de Conteúdo (CSP, em inglês) para que o navegador notifique o proprietário ou desenvolvedor e evitar o carregamento de conteúdos não confiáveis.

Mixed Content e a Política de Segurança de Conteúdo

O CSP permite controlar o conteúdo misto no site e a política de aplicação, protegendo os usuários ao bloquear a exibição de Mixed Content. Ele é muito útil em caso externos ao uso de conteúdo misto.

Para ativar o CSP é preciso incluir o cabeçalho Content-Security-Policy nas suas páginas. Nesse caso, é só ativar o recurso usando uma tag <meta> na seção <head> da página. Você encontra as regras de uso de CSP nos seguintes sites:

Problemas relacionados a NET::ERR_CERT_INVALID Error

Embora também possa aparecer em outros browsers este é um erro muito comum para quem é usuário do navegador Google Chrome. Basicamente este erro significa que a conexão com o site ou blog não é segura.

Por exemplo, caso seu site já tenha um certificado SSL instalado, isso significa que alguma configuração está incorreta e o navegador não consegue aceitar a solicitação.

Para efetuar a correção deste erro você primeiro vai precisar conferir se o certificado está atribuído ao domínio certo. Em seguida, verifique se o certificado não está expirado. Para isso, clique no ícone de cadeado que todos os detalhes serão exibidos.

Na maioria dos casos basta reinstalar o certificado que o problema é resolvido.

Como corrigir problemas de “Too Many Redirects”

Outro erro muito comum que pode aparecer repentinamente é o problema relacionado a muitos redirecionamentos do tipo ERR_TOO_MANY_REDIRECTS que pode acontecer quando o WordPress permite o uso do HTTPS em seu painel de administrativo.

Para que este problema seja corrigido será preciso usar um cliente sFTP de sua preferência e editar o arquivo wp-config.php, inserindo o seguinte código imediatamente antes da mensagem “That’s all, stop editing! Happy blogging.

define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)

       $_SERVER['HTTPS']='on';Code language: PHP (php)

Caso o problema persista após implementar o código acima, tente limpar o cache do site e também o cache do servidor.

Erro de redirecionamento HTTP para HTTPS

Infelizmente o WordPress não vai redirecionar todo o seu site ou blog do HTTP para o HTTPS de forma automática. Para contornar este problema, recomendamos que use um plugin Really Simple SSL para fazer este serviço.

O plugin consegue detectar e converter automaticamente todas as entradas que possuam o HTTP para HTTPS. Tudo isso com apenas um único clique!

Problema relacionado a Name Mismatch Error

Em tradução livre, o erro de incompatibilidade de nome é outro problema relacionado aos certificados SSL instalados em um domínio. Este erro acontece quando seu nome de domínio não corresponde ao nome de domínio listado no certificado digital SSL nem corresponde à URL do navegador.

Se o seu servidor web permite usar o arquivo .htaccess, então basta você adicionar o código abaixo para corrigir o erro.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>Code language: HTML, XML (xml)

Contudo, se o seu servidor web não faz uso do .htaccess recomendamos que entre em contato com o suporte da sua hospedagem de sites para lhe auxiliar a resolver este problema.

O que eu preciso fazer depois de instalar o SSL no meu site?

Enfim, depois de instalar o HTTPS em seu site ou blog você precisará fazer ajustes no Search Console do Google (e do Bing, e de qualquer outro buscador que você use) para garantir que só há uma versão de seu site indexada, especificamente a versão com HTTPS.

A partir daí é só começar a curtir e aproveitar!

Foto: Laura Gigch via Pexels.

Celso Junior em 21/10/2020 (atualização: 13/12/2023)
Quero ser cliente da PortoFácil! Entre em contato

Leia também

Textos que têm a ver com este assunto:
TUTORIAL: como resolver erros e problemas no WordPress

Tutorial de como resolver os principais erros e problemas relacionados ao WordPress. Confira nosso passo a passo detalhado de soluções!

Criar email com domínio próprio, personalizado e profissional – TUTORIAL

Como criar e configurar email com domínio próprio: Zoho, Cloudflare, Google Workspace, Yandex, ImprovMX, iCloud, Rackspace, Migadu e Umbler.

Como corrigir os erros mais comuns dos navegadores

Conheça os erros e falhas mais comuns que costumam aparecer no seu navegador web e aprenda como resolvê-los da melhor maneira.