Por que SSL é obrigatório em 2026 (e o que acontece sem ele)

Se você ainda tem clientes com sites em HTTP puro, você tem um problema. Não é questão de preferência ou capricho técnico — é uma realidade que afeta diretamente o negócio: ranqueamento no Google, confiança do visitante e até taxa de conversão.

O que é SSL e por que ele existe

SSL (Secure Sockets Layer), hoje tecnicamente chamado de TLS, é o protocolo que criptografa a comunicação entre o navegador do visitante e o servidor do site. O cadeado verde na barra de endereço e o prefixo https:// indicam que a conexão está protegida.

Sem SSL, qualquer dado enviado pelo visitante — formulários de contato, senhas, informações de pagamento — trafega em texto puro pela internet, podendo ser interceptado por terceiros.

O que acontece com sites sem SSL hoje

1. O Chrome marca como "Não seguro"

Desde 2018, o Google Chrome exibe a mensagem "Não seguro" na barra de endereço para qualquer site HTTP. Versões mais recentes do Chrome chegam a exibir um aviso em tela cheia antes de deixar o visitante continuar. Para o usuário comum, isso equivale a uma placa de "perigo" na porta do seu cliente.

Estudos mostram que mais de 80% dos visitantes abandonam um site ao ver esse aviso. Para um site de serviços ou e-commerce, o impacto na conversão é imediato.

2. Google penaliza no ranking de busca

Desde 2014 o Google usa HTTPS como fator de ranqueamento. Com o tempo, esse peso aumentou. Em 2026, um site sem SSL está em desvantagem competitiva contra qualquer concorrente que tenha HTTPS ativado — mesmo que o conteúdo seja superior.

Além disso, o Google não indexa páginas de login ou checkout sem HTTPS, o que pode esconder partes importantes do site dos resultados de busca.

3. Formulários e dados em risco

Qualquer dado preenchido em um formulário HTTP — nome, email, telefone — trafega sem criptografia. Em redes Wi-Fi públicas, é trivial interceptar esse tráfego com ferramentas de análise de rede. Para sites de clínicas, escritórios de advocacia ou qualquer negócio que lide com dados sensíveis, isso é um risco legal real.

SSL gratuito existe — não há desculpa

A principal objeção que ouvimos é custo. Mas desde 2015, o Let's Encrypt oferece certificados SSL gratuitos e renováveis automaticamente. Praticamente toda hospedagem moderna já inclui SSL automático — inclusive todos os planos da LumaHost.

Se você ainda tem clientes pagando por certificados SSL avulsos de R$150/ano ou mais, saiba que o Let's Encrypt oferece o mesmo nível de criptografia de forma totalmente gratuita.

Como ativar SSL em um site existente

1. Ative o certificado SSL no painel da hospedagem (na maioria, é um clique)
2. Configure redirecionamento 301 de HTTP para HTTPS no .htaccess ou nginx.conf
3. Atualize a URL no WordPress em Configurações → Geral para https://
4. Faça um search & replace no banco de dados para substituir referências http:// por https://
5. Verifique se não há mixed content (recursos carregados via HTTP em páginas HTTPS)

O passo 4 é onde a maioria erra — é preciso atualizar as URLs no banco de dados, não só no painel. Use o plugin Better Search Replace para fazer isso com segurança.

E a renovação automática?

Certificados Let's Encrypt expiram a cada 90 dias. Se a hospedagem não configurar a renovação automática, o site fica com SSL expirado — o que é ainda pior do que não ter SSL, pois o Chrome bloqueia o acesso completamente.

Na LumaHost, a renovação é automática e monitorada. Nenhum site dos nossos clientes fica com certificado expirado.

Em resumo: SSL não é opcional em 2026. É infraestrutura básica, assim como ter um domínio próprio ou um site responsivo. Se algum cliente ainda tem site em HTTP, resolver isso deve ser prioridade imediata.

Gostou do conteúdo? Leia também: WordPress lento — o que fazer antes de culpar a hospedagem e como escalar sua agência sem contratar um sysadmin.