Preciso de certificado SSL para o site da minha empresa?
Se você tem uma empresa de encanamento, um consultório odontológico, ou um estúdio de massagem, você não entrou no ramo para pensar em criptografia. Então quando o seu técnico, sua conta de hospedagem, ou um aviso assustador no navegador levanta a pergunta "preciso de certificado ssl", você quer uma resposta direta, não uma palestra.
Eis a resposta direta: sim, você precisa de um. Todo site de negócio precisa de um certificado SSL hoje, até um site simples de cinco páginas que nunca recebe pagamento. Abaixo está por que isso é verdade, como conferir se você já tem um (muita gente tem sem saber), e como conseguir um sem pagar por um especialista.
O que um certificado SSL de fato faz
Pense no seu site como correio. Sem um certificado SSL, tudo que um visitante envia ao seu site viaja como um cartão-postal que qualquer um no caminho pode ler. Com um certificado SSL, a mesma informação viaja num envelope lacrado que só o seu site pode abrir.
O certificado é um pequeno arquivo que vive no servidor que hospeda seu site. Ele faz duas funções:
- Ele embaralha (criptografa) os dados que se movem entre o navegador de um visitante e seu site, para que senhas, telefones e o que for digitado em formulários não possam ser lidos no caminho.
- Ele prova que seu site é de fato o seu site, não uma cópia montada para enganar seus clientes.
Você também vai ver o termo TLS. TLS é simplesmente a versão mais nova e segura da mesma tecnologia. O setor ainda diz "SSL" por hábito, então quando uma hospedagem ou um plugin diz SSL, quase sempre quer dizer TLS moderno. Não deixe os dois nomes te confundirem. Eles apontam para o mesmo cadeado.
Como saber se você já tem um
Antes de comprar qualquer coisa, confira o que você tem. Isso leva uns dez segundos.
- Abra seu site num navegador.
- Olhe a barra de endereço. Se o endereço começa com "https" (com o s) e não há aviso, você tem um certificado funcionando.
- Clique no pequeno cadeado ou no ícone ao lado do endereço. O navegador vai dizer que a conexão é segura e deixar você ver os detalhes do certificado.
Se em vez disso você vê "Não seguro", um aviso vermelho, ou uma mensagem de página inteira dizendo "Sua conexão não é particular", então você ou não tem certificado ou tem um que expirou. Esse é um problema que vale resolver esta semana, e o resto deste guia cobre isso.
Um cuidado: um cadeado significa que a conexão está criptografada. Não significa que o negócio por trás do site é honesto. Golpistas também conseguem certificados. Então o cadeado é necessário, mas não é prova de confiança por si só. Para o seu próprio site, porém, o cadeado estar presente é exatamente o que você quer.
Por que você precisa de um mesmo sem vender online
O mito mais comum é que SSL é só para lojas que passam cartão. Isso deixou de ser verdade há anos. Aqui estão os motivos que se aplicam a um site normal de negócio local.
Navegadores agora expõem sites sem ele
Chrome, Safari, Firefox e Edge todos rotulam páginas sem certificado como "Não seguro". Alguns mostram um aviso antes de o visitante ver sua página. Um morador buscando reparo de telhado de emergência não vai passar por uma tela vermelha de aviso. Ele vai voltar e ligar para seu concorrente. Segundo o guia de certificados SSL da Cloudflare, servir seu site por HTTPS é o que faz o cadeado aparecer e mantém esses avisos longe.
Ele protege qualquer informação que um visitante digita
Você pode não vender online, mas seu site provavelmente tem um formulário de contato, um pedido de orçamento, ou um agendamento. No momento em que um visitante digita nome, endereço ou telefone, esses dados precisam de proteção. Como aponta a Mailchimp, se você coleta qualquer informação pessoal, até um e-mail, você precisa de um certificado.
O Google usa isso como sinal de ranqueamento
O Google confirmou há anos que HTTPS é um fator no ranqueamento de busca. Não é o maior fator, mas quando dois telhadistas da mesma cidade estão empatados, o seguro tem vantagem. Um site sinalizado como "Não seguro" luta nos resultados de busca com uma mão amarrada.
Ele te mantém do lado certo das regras de privacidade
Leis de privacidade como o GDPR na Europa e a LGPD no Brasil esperam que negócios tomem passos razoáveis para proteger os dados que coletam. Criptografia em trânsito é um dos mais básicos desses passos. Ter um certificado é parte de mostrar que você levou o tratamento de dados a sério.
Um site sem certificado não é só menos seguro. Ele parece quebrado para o exato cliente que você pagou para trazer até a página.
Os tipos de certificado, em termos simples
Você vai esbarrar em três nomes quando pesquisar. Para quase todo negócio local, só o primeiro importa.
- Validação de Domínio (DV). A autoridade certificadora confirma que você controla o domínio, aí emite o certificado, muitas vezes em minutos. É isso que sustenta a esmagadora maioria dos sites de pequeno negócio, e é o que as opções gratuitas oferecem. O cadeado fica idêntico ao dos tipos caros.
- Validação de Organização (OV). A autoridade também confere que seu negócio é uma entidade registrada de verdade. Isso leva alguns dias e custa dinheiro. Útil para algumas organizações maiores, raramente necessário para um comércio local.
- Validação Estendida (EV). A verificação mais pesada, voltada a bancos e grandes empresas. Navegadores modernos já não mostram o antigo nome verde da empresa na barra, então o retorno visível para um pequeno negócio é quase zero.
A versão curta: um certificado gratuito de Validação de Domínio dá aos seus clientes o mesmo cadeado seguro que um certificado que custa centenas de dólares por ano. A barra de endereço verde que você talvez lembre acabou. Não deixe ninguém te empurrar um certificado corporativo que você não precisa.
Como conseguir um certificado, do mais fácil ao mais difícil
Opção 1: você pode já tê-lo incluso
A maioria dos construtores de sites modernos e muitos planos de hospedagem incluem um certificado sem custo extra e o ligam para você. Se seu site já mostra https e um cadeado, está pronto. Não compre um segundo. Confira primeiro, depois aja.
Opção 2: grátis pelo Let's Encrypt
O Let's Encrypt é uma autoridade certificadora sem fins lucrativos que emite certificados de graça, para sempre. Ele sustenta uma enorme fatia da web segura. A maioria das boas hospedagens tem um botão de um clique para ativar um certificado Let's Encrypt, e algumas fazem automaticamente. O trade-off é que esses certificados duram 90 dias, então precisam renovar com frequência. A boa notícia é que a renovação é feita para ser automática. Sua hospedagem ou software de servidor cuida disso nos bastidores com uma ferramenta como o Certbot, e você nunca vê acontecer.
Opção 3: comprar um da sua hospedagem ou de um vendedor de certificados
Se sua hospedagem não oferece uma opção gratuita, você pode comprar um certificado, muitas vezes junto com sua hospedagem por uma taxa anual modesta. Esse caminho às vezes envolve gerar um pedido de assinatura, verificar a propriedade, subir arquivos, e mudar seu site para redirecionar de http para https. Não é difícil para uma pessoa técnica, mas é a etapa em que donos não técnicos costumam pedir ajuda.
Seja qual for o caminho, termine o serviço garantindo que seu site redirecione o endereço http antigo para a versão segura https. Senão, alguns visitantes caem na cópia desprotegida e veem o aviso do mesmo jeito.
Sinais de alerta comuns e o que significam
Algumas mensagens jogam os donos em pânico. Eis o que elas costumam apontar.
- "Não seguro" na barra de endereço. Nenhum certificado instalado, ou o site não está forçando https. Corrija instalando ou ativando um e ligando o redirecionamento.
- Bloqueio de página inteira "Sua conexão não é particular". Muitas vezes um certificado expirado. Como certificados gratuitos renovam a cada 90 dias, isso geralmente significa que uma renovação automática falhou em silêncio. Renove e confira se a renovação automática está ligada.
- Um cadeado com um pequeno triângulo de aviso. Geralmente "conteúdo misto", ou seja, a página é segura mas está carregando uma imagem, fonte ou script pelo http antigo. Atualizar esses links para https resolve.
- O certificado é para o domínio errado. O certificado foi emitido para um endereço diferente do que os visitantes digitaram, por exemplo a versão www contra a versão simples. Ele precisa cobrir os dois.
Nenhum desses é uma emergência que você não consegue resolver, mas um site deixado com um aviso vermelho por semanas perde clientes em silêncio o tempo todo.
Então, preciso de certificado SSL, ou isso é exagero?
Para a maioria dos donos de negócio local, a resposta honesta para "preciso de certificado ssl" termina com uma segunda pergunta: já tem um ligado? Se sim, você terminou e pode parar de ler sobre criptografia para sempre. Se não, um certificado gratuito pela sua hospedagem ou pelo Let's Encrypt fecha a lacuna, geralmente no mesmo dia, geralmente sem custo.
A única armadilha real é pagar por um certificado corporativo caro que você não precisa, ou deixar um gratuito vencer porque ninguém configurou a renovação automática. Evite esses dois erros e você resolveu isso de vez.
Onde isso encaixa se você vai reconstruir seu site de qualquer jeito
Se seu site atual é velho, lento, ou disparando avisos de segurança, às vezes o conserto mais limpo não é remendar o certificado mas mudar para uma plataforma onde a segurança é resolvida para você. Isso é uma das coisas em torno das quais construímos a Saynovo. Todo site que ela produz vai ao ar por https com o certificado já no lugar e renovando sozinho, então um dono ocupado nunca é o responsável por lembrar de um relógio de 90 dias. Você descreve mudanças em linguagem comum e o site atualiza, e o cadeado simplesmente está sempre lá. Ela não vai tocar uma loja online para você, mas para um negócio de serviços que quer um site limpo e seguro sem tocar em configurações de servidor, a questão de segurança está respondida antes de você até perguntar.
A conclusão
Então, preciso de certificado SSL? Sim, precisa. Ele protege a informação que seus clientes te entregam, mantém os navegadores de assustá-los, e te dá um pequeno empurrão nos resultados de busca. A tecnologia soa intimidadora, mas os passos práticos são curtos: confira se você já tem um, ligue um certificado gratuito se não tem, force seu site a usar https, e garanta que a renovação seja automática. Faça isso uma vez e o cadeado cuida de si mesmo.
Fontes que valem ler mais a fundo:
- Cloudflare: O que é um certificado SSL?
- Mailchimp: Preciso de um certificado SSL?
- Namecheap: Preciso de um certificado SSL?
- Let's Encrypt: Como funciona
