Defaults.Exposed › Correções › HTTPS e redirecionamento forçado para seguro

Como corrigir HTTPS e redirecionamento forçado para seguro

O HTTPS é o cadeado na barra do navegador — encripta tudo o que circula entre o seu site e os seus clientes para que não possa ser lido nem adulterado em trânsito. O redirecionamento forçado para seguro garante que os visitantes aterram automaticamente nessa versão encriptada, mesmo quando escrevem o seu endereço sem «https://». Em conjunto, são a coisa mais básica de que um site precisa para ser sequer considerado seguro.

O essencial para o seu negócio: Sem HTTPS, cada palavra-passe, número de cartão e mensagem que um cliente lhe envia atravessa a internet como texto legível, e o Chrome, o Edge, o Safari e o Firefox carimbam todos o seu site como «Não seguro» para cada visitante antes de ler uma palavra. Sem o redirecionamento, até sites com certificado deixam a primeira visita desprotegida. Ambos lhe custam confiança, vendas e posição nas pesquisas — e ambos são gratuitos de corrigir em minutos.

Quanto isto lhe pode custar

• Um visitante de primeira viagem vê um grande aviso «Não seguro» assim que a sua página carrega. A maioria assume que o site é falso, está avariado ou é inseguro e vai para um concorrente — e você nem fica a saber que perdeu a venda.
• Um cliente introduz os dados do cartão ou inicia sessão numa ligação não encriptada a partir de um café, hotel ou aeroporto. Alguém na mesma rede Wi-Fi lê tudo em texto simples, e as cobranças fraudulentas que se seguem são-lhe atribuídas a si.
• A equipa de compras ou de segurança de um cliente maior faz uma análise rápida antes de assinar, não vê HTTPS ou falta o redirecionamento forçado, e congela o contrato até conseguir provar que está corrigido.
• O Google coloca-o abaixo de concorrentes que servem HTTPS, por isso perde tráfego de pesquisa em silêncio durante anos sem nunca ligar isso a esta falha.
• Um regulador ou o seu fornecedor de pagamentos trata o envio de dados pessoais ou de cartão sem encriptação como uma falha reportável, transformando uma correção gratuita de cinco minutos num problema de conformidade.

Por que importa. O HTTPS é o chão, não o teto, da segurança web — é o que faz aparecer o cadeado e o que impede que tudo o que os seus clientes enviam seja lido ou alterado pelo caminho. O redirecionamento forçado para seguro fecha a brecha que um certificado sozinho deixa aberta: as pessoas quase nunca escrevem «https://», por isso sem um redirecionamento o primeiro pedido viaja desprotegido antes de a versão segura sequer carregar. Um site sem qualquer destes parece inseguro aos visitantes, fica pior posicionado nas pesquisas e expõe dados reais de clientes — razão pela qual esta é a falha isolada de maior peso que pontuamos.

O que é isto, em palavras simples

O HTTPS é a versão segura e encriptada do seu site — a que mostra um cadeado na barra de endereço. Quando um visitante está em HTTPS, tudo o que passa entre o navegador dele e o seu site (as páginas que vê, os formulários que preenche, as palavras-passe, os dados do cartão) é baralhado para que ninguém no meio possa lê-lo ou alterá-lo. A versão simples, HTTP, envia tudo isso como texto legível que qualquer pessoa na mesma rede pode intercetar.

Há duas partes para acertar nisto, e verificamos ambas:

• Existe HTTPS de todo? O seu site tem um certificado de segurança a funcionar para que a versão segura, com cadeado, exista? Esta é a mais séria das duas — sem ela não há encriptação nenhuma.
• O seu site força os visitantes para ela? Quase ninguém escreve «https://» à mão. Se alguém escrever só o nome do seu domínio, o navegador tenta primeiro a versão simples HTTP. Um redirecionamento forçado para seguro faz saltar automaticamente esse pedido para a versão encriptada. Sem ele, os primeiros momentos de cada visita ficam desprotegidos mesmo quando tem certificado.

Quer ambos. Um certificado sem redirecionamento é uma porta da frente trancada que os visitantes podem simplesmente contornar.

O que está em jogo para o negócio

Este é o sinal mais básico de se um site é seguro — e, crucialmente, é um que os seus clientes conseguem ver por si próprios. Todos os navegadores modernos (Chrome, Edge, Safari, Firefox) rotulam um site sem HTTPS como «Não seguro» mesmo na barra de endereço, e mostram um aviso se alguém tentar escrever num formulário. Os seus visitantes não precisam de saber o que é um certificado para reagir a essa palavra.

Para além do aviso visível, isto afeta três coisas que importam diretamente aos donos: confiança (as pessoas abandonam sites que parecem inseguros), posição nas pesquisas (o Google usa o HTTPS como sinal de classificação há anos e favorece sites seguros) e exposição real (dados enviados em HTTP simples podem genuinamente ser lidos por outros na mesma rede). É também o tipo de coisa que a equipa de segurança de um cliente maior verifica em segundos durante a diligência prévia — e a sua ausência pode estagnar um negócio.

Quanto isto lhe pode custar

• O abandono silencioso. Um potencial cliente clica num resultado de pesquisa ou num anúncio, e a página carrega com um distintivo cinzento «Não seguro» — ou pior, um aviso de ecrã inteiro. Não lhe envia e-mail a perguntar porquê; limita-se a fechar o separador e a clicar no resultado seguinte. Pagou por essa visita e perdeu-a antes de ele ler uma palavra, e nada nas suas estatísticas lhe diz porquê.
• Um login ou pagamento intercetado. Um cliente inicia sessão ou finaliza a compra enquanto está numa Wi-Fi partilhada de hotel ou café. Como a ligação não está encriptada, alguém por perto captura a palavra-passe ou o número do cartão em texto simples. A fraude que se segue é reportada como a sua falha de segurança, e é você quem atende as chamadas furiosas e os estornos.
• O negócio que estagna. Um potencial cliente maior está pronto a assinar, mas o processo de compras inclui uma verificação rápida de segurança ao seu site. O resultado sinaliza a falta de HTTPS, ou um redirecionamento forçado em falta. De repente está a explicar uma falha básica de segurança em vez de fechar — e o contrato espera, ou vai em silêncio para um concorrente que passou na verificação.
• A fuga lenta de posicionamento. Duas empresas oferecem o mesmo; uma serve HTTPS seguro e a outra não. Os motores de pesquisa empurram a segura para cima. Ao longo de meses perde um fluxo constante de tráfego gratuito e nunca o liga a esta única definição.
• Conteúdo injetado que nunca escreveu. Numa ligação não encriptada, qualquer pessoa no meio — uma rede pública duvidosa, um router comprometido — pode inserir pop-ups falsos, ofertas de burla ou malware nas suas páginas enquanto um visitante as carrega. Para esse visitante, parece que foi o seu site que o fez.

O que é na realidade

Quando um navegador se liga a um site por HTTPS, acontecem duas coisas. Primeiro, o site apresenta um certificado — uma credencial emitida por uma autoridade de confiança que prova que o site é quem afirma ser. Segundo, o navegador e o servidor acordam uma chave de encriptação e usam-na para baralhar tudo o que trocam. A nossa primeira verificação, HTTPS disponível, pergunta simplesmente: conseguimos estabelecer uma ligação TLS segura ao seu site na porta segura padrão (443) e obter de volta um certificado válido? Se sim, o cadeado pode aparecer e a encriptação está ligada. Se não, não há versão segura nenhuma do seu site — e essa é a falha isolada de maior peso que pontuamos.

A segunda verificação, o redirecionamento forçado para seguro, cobre uma brecha que o certificado sozinho deixa aberta. As pessoas escrevem «suaempresa.com», não «https://suaempresa.com». Esse pedido nu vai primeiro para a versão simples HTTP. Um redirecionamento é uma instrução de uma linha que diz «envia quem chegar à versão insegura direto para a segura». A nossa verificação pergunta: quando pedimos o seu endereço HTTP simples, o seu site faz-nos saltar para HTTPS? Se fizer, cada visitante acaba protegido, não importa como escreveu o seu endereço. Se não fizer, esse primeiro salto desprotegido leva o que quer que o navegador envie — cookies, dados de formulário — às claras.

Como é o «bom»: um certificado válido e de confiança para que o cadeado apareça em cada página, e cada pedido HTTP simples redirecionado automaticamente para a versão HTTPS (idealmente com um redirecionamento permanente «301», que também passa o seu posicionamento de pesquisa de forma limpa para o endereço seguro).

Como corrigir (gratuito, ~15 minutos)

Entregue esta secção ao seu técnico de TI ou ao suporte do seu fornecedor de alojamento — a correção é gratuita. As duas partes disto não custam nada: os certificados de confiança são gratuitos e renovam-se sozinhos, e ligar o redirecionamento é uma única definição na maioria das plataformas. Não é preciso nenhum produto pago para passar nisto.

Há duas coisas a ligar. Na maioria do alojamento moderno, fazer a primeira torna muitas vezes a segunda um interruptor de um clique.

1. Obtenha um certificado para que o HTTPS funcione (o cadeado).

• Cloudflare: se o seu site está por trás da Cloudflare, o SSL é tratado por si. Defina o modo SSL/TLS para «Full» (ou «Full (strict)» se o seu servidor de origem também tiver certificado).
• Construtores de sites e alojamento gerido (Squarespace, Wix, Shopify, Webflow, a maioria do alojamento web do Microsoft 365 / Google Workspace): o HTTPS é fornecido automaticamente; basta garantir que está ativado nas definições do seu site/domínio — normalmente não há nada a instalar.
• Alojamento cPanel: abra SSL/TLS Status e execute AutoSSL, que emite um certificado Let’s Encrypt gratuito.
• O seu próprio servidor (VPS): instale o Let’s Encrypt com o Certbot — sudo certbot --nginx -d seudominio.com (ou --apache). Ele obtém e instala um certificado gratuito e configura a renovação automática.
• Qualquer outra coisa: contacte o suporte do seu fornecedor de alojamento e peça-lhe para «ativar um certificado SSL gratuito para o meu domínio». Quase todos oferecem isto sem custo.

2. Force cada visitante para HTTPS (o redirecionamento).

• Cloudflare: SSL/TLS → Edge Certificates → ligue «Always Use HTTPS». É o trabalho todo.
• Construtores de sites (Squarespace, Wix, Shopify, etc.): procure um interruptor «Force HTTPS» ou «Secure (HTTPS)» nas definições do seu site e ligue-o.
• Nginx: adicione um bloco server na porta 80 que devolve um redirecionamento permanente — return 301 https://$host$request_uri;.
• Apache (.htaccess): ative a reescrita e redirecione qualquer pedido não-HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (alojamento Windows): instale o módulo URL Rewrite e adicione uma regra de redirecionamento «HTTP to HTTPS».

Depois de ambos ligados, teste: escreva o seu endereço com http:// simples à frente e confirme que o navegador salta automaticamente para a versão https:// com cadeado, e que o cadeado aparece nas suas páginas principais.

Erros comuns

• Certificado instalado, mas sem redirecionamento. A brecha mais comum. Vê o cadeado quando visita o seu próprio site (porque o seu navegador se lembrou do HTTPS), por isso assume que está pronto — mas novos visitantes que escrevem o domínio nu ainda aterram primeiro em HTTP. Teste sempre a versão http:// simples explicitamente.
• Conteúdo misto. A sua página carrega por HTTPS mas puxa uma imagem, script ou tipo de letra de um endereço http:// antigo. Os navegadores ou o bloqueiam ou degradam o cadeado para um aviso. Atualize essas referências para https:// (ou para ligações relativas). A maioria das plataformas tem um relatório de «conteúdo misto» ou «conteúdo inseguro» que os encontra.
• Um redirecionamento temporário (302) em vez de um permanente (301). Um 302 funciona para os visitantes mas diz aos motores de pesquisa que a mudança é temporária, por isso o valor de posicionamento não transita de forma limpa para o seu endereço seguro. Use um 301 permanente.
• Redirecionar só o domínio nu, não o «www» (ou vice-versa). Garanta que tanto seudominio.com como www.seudominio.com acabam em HTTPS, senão um dos caminhos continua exposto.
• Deixar um certificado expirar. Um certificado caducado lança um erro de ecrã inteiro no navegador que trava os visitantes em seco. Os certificados Let’s Encrypt gratuitos renovam-se automaticamente; se comprou um manualmente, defina um lembrete no calendário bem antes da expiração.

FAQ

Veja as perguntas acima — cobrem o «consigo fazer isto sozinho» não técnico, a diferença entre ter um cadeado e forçar o redirecionamento, o custo e renovação do certificado, se os sites de montra precisam disto, e como isto se relaciona com o HSTS.

Perguntas frequentes