Por que o site aparece como "não seguro" (e como resolver o cadeado)

Por Darlei Cordeiro 6 min de leitura
Ilustração de um cadeado fechado sobre a janela de um site, representando conexão segura em HTTPS

Se o site da sua empresa aparece como "não seguro" na barra do Chrome, o motivo quase sempre é um só: ele ainda abre em HTTP, sem um certificado de segurança instalado. Os navegadores passaram a marcar esses sites em vermelho lá em 2018, e desde então quem entra no seu vê o aviso antes de ler uma linha sobre o que você faz. Não significa que você foi invadido. Significa que a conexão entre o visitante e o seu site não está protegida, e o navegador avisa isso na cara.

A boa notícia é que resolver costuma ser rápido e, na maioria dos casos, de graça. O certificado que liga o cadeado hoje é gratuito e já vem em qualquer hospedagem que se preze. Abaixo eu explico, em linguagem de dono e sem tecnês, o que é esse cadeado, por que ele afasta comprador e derruba você no Google, e o que fazer pra tirar o "não seguro" do seu site de vez.

O que o cadeado quer dizer, sem tecnês

Pensa no cadeado como o crachá do seu site. Ele diz duas coisas pra quem chega. A primeira: tudo que a pessoa digita ali, um formulário de contato, um pedido de orçamento, viaja embaralhado e não pode ser lido por ninguém no caminho. A segunda, que quase ninguém comenta: o cadeado confirma que aquele site é mesmo da sua empresa, naquele endereço, e não uma cópia montada pra enganar. É conexão protegida e identidade conferida, as duas coisas de uma vez.

Os nomes técnicos são poucos e vale conhecer, porque você vai ouvir de fornecedor. HTTPS é o endereço que começa com "https" no lugar de "http", o "s" de seguro. Certificado SSL é o documento digital que a sua hospedagem instala pra ligar o cadeado. Quando esse certificado está no lugar, o navegador mostra o cadeado. Quando não está, mostra o "não seguro". É só isso: presença ou ausência de um documento que hoje sai de graça.

Ilustração de um muro com escudo protegendo a janela de um site, representando a conexão protegida do HTTPS

Por que o "não seguro" espanta comprador

Coloca-se no lugar de quem procura fornecedor. A pessoa pesquisa, abre três ou quatro sites em abas e, no seu, o navegador estampa um aviso vermelho de "não seguro" logo ao lado do endereço. Ela não sabe o que é SSL, não quer saber. O que ela lê é: "cuidado com esse site". E fecha a aba.

Isso é pior ainda numa página de contato ou orçamento. A pessoa está com o dedo no botão pra te mandar o pedido, olha pra cima, vê "não seguro", e a mão trava. Ela pensa: "vou colocar meu telefone e meu e-mail num site que o próprio navegador diz que é inseguro?". O comprador industrial é desconfiado por natureza, e com razão, ele vai mover dinheiro. Um único aviso desses derruba a confiança que o resto do site levou anos pra construir.

Já analisei site de indústria sólida, com 20 anos de mercado e produto excelente, que sangrava contato por causa disso. A empresa era séria. O site dizia o contrário logo na primeira olhada, e o dono nem sabia que o aviso estava lá, porque no computador dele, salvo nos favoritos, o Chrome já não reclamava.

E o Google enxerga isso também

Tem o lado que você não vê. O Google usa o HTTPS como um dos critérios pra ordenar os resultados desde 2014. Entre duas empresas parecidas, a do site com cadeado tende a aparecer na frente da que está em "não seguro". Não é o critério mais pesado que existe, mas num nicho disputado ele desempata, e desempatar a seu favor é de graça.

Some os dois efeitos e o estrago fica claro. Você aparece menos na busca porque o Google prefere quem tem cadeado, e converte menos entre os poucos que chegam porque o aviso vermelho os assusta. Site em "não seguro" perde na entrada e perde na saída. É dos problemas mais baratos de resolver e dos mais caros de ignorar.

Ilustração de um selo com sinal de verificado à frente da janela de um site, representando site confiável e verificado

O certificado é grátis, então por que ainda tem site sem?

Aqui vai minha posição, com todas as letras: na imensa maioria dos casos, pagar caro por certificado SSL é dinheiro jogado fora. Existe o Let's Encrypt, um certificado gratuito, reconhecido por todos os navegadores, que dá exatamente o mesmo cadeado que os pagos. Ele já vem incluído em qualquer hospedagem decente, e se renova sozinho. Pra site de indústria e empresa B2B, ele resolve com folga.

Certificado pago só se justifica em casos específicos, tipo banco ou e-commerce de grande porte que precisa de um tipo de validação mais rígida. Se um fornecedor te cobra uma mensalidade gorda "pelo SSL" do seu site institucional, desconfie. Na maior parte das vezes o que você está pagando já era pra estar incluído no que você já paga de hospedagem.

Então por que ainda existe tanto site em "não seguro"? Quase nunca é questão de custo. É configuração e hospedagem. O certificado não foi ativado, ou foi ativado mas o site continua carregando pedaços antigos em HTTP, uma imagem aqui, um link ali, e isso reacende o aviso. É trabalho de quem sabe onde mexer, não uma conta pra pagar.

Como resolver o "não seguro" do seu site

O caminho depende de onde está o seu site, mas a lógica é sempre a mesma. Em ordem:

  1. Ative o certificado gratuito na hospedagem. Em painel de hospedagem moderno, ligar o Let's Encrypt é praticamente um botão. Se você não acha a opção, o suporte da sua hospedagem faz em minutos, e não deve cobrar por isso.
  2. Force o site a abrir sempre em HTTPS. Não basta o cadeado existir, o site tem que redirecionar quem digita "http" pra versão "https". Sem isso, metade dos visitantes continua caindo na versão sem cadeado.
  3. Cace o que sobrou em HTTP. É o passo que trava os desavisados. Uma única imagem ou script antigo carregando em HTTP faz o navegador voltar a mostrar o aviso, mesmo com o certificado certo. É preciso varrer o site e apontar tudo pra HTTPS.
Teste rápido: abra o site da sua empresa numa aba anônima do Chrome, no celular, e olhe do lado do endereço. Se aparecer "não seguro" ou um triângulo de aviso no lugar do cadeado, você está perdendo comprador e posição no Google todos os dias, e a correção quase sempre não custa nada além do trabalho de fazer certo.
Ilustração de um cofre guardando dados de um site, representando a segurança das informações do visitante

Se o site é antigo, o cadeado pode ser a ponta do iceberg

Uma ressalva honesta. Se o seu site está em "não seguro" e tem mais de cinco ou seis anos, o cadeado costuma ser o sintoma mais visível de um site que já passou da hora. Quem deixou o certificado de fora provavelmente também deixou fotos pesadas, uma estrutura lenta e um monte de remendo acumulado. Nesse caso, instalar o cadeado tira o aviso, mas o site continua velho por baixo.

Não estou dizendo pra refazer tudo por causa do cadeado. Estou dizendo pra usar o susto como deixa: se o "não seguro" te pegou de surpresa, vale olhar o site inteiro com calma, não só tapar esse buraco. Às vezes o certificado resolve e pronto. Às vezes ele revela que o site já não representa mais a empresa que você virou.

Antes de sair mexendo

Resumo do que importa: "não seguro" quer dizer site sem certificado, o certificado hoje é gratuito, e o problema quase sempre é configuração ou hospedagem, não custo. Se o seu site mostra esse aviso, trate como urgente, porque cada dia assim é comprador que fecha a aba e posição que você entrega de graça pro concorrente.

E se quiser saber se é só o cadeado ou se o site pede mais atenção, eu faço isso na minha análise gratuita: olho o seu site, confiro o certificado, a velocidade, o Google e a credibilidade, e te devolvo os pontos que mais pesam em até 2 dias úteis. Você decide o que fazer com a informação, comigo ou com quem preferir.

Perguntas frequentes

Por que meu site aparece como "não seguro"?

Porque ele ainda abre em HTTP, sem certificado de segurança instalado. O Chrome, o Firefox e os outros navegadores marcam esses sites como "não seguro" desde 2018. Não quer dizer que seu site foi invadido: quer dizer que a conexão entre o visitante e o site não está protegida. Instalar o certificado tira o aviso.

O que é o cadeado do site?

É o sinal de que a conexão com aquele site está protegida por um certificado de segurança, o tal do SSL. O cadeado diz duas coisas ao visitante: que o que ele digita ali (um formulário, um pedido) viaja embaralhado e não pode ser lido no caminho, e que o site é mesmo daquele endereço, não uma cópia. Sem ele, o navegador troca o cadeado pelo aviso de "não seguro".

Preciso pagar por um certificado SSL?

Na maioria dos casos, não. Existe o Let's Encrypt, um certificado gratuito e reconhecido por todos os navegadores, que já vem incluído em qualquer hospedagem séria. Certificado pago só faz sentido em situações específicas, como banco ou grande e-commerce. Pra site de indústria e empresa B2B, o gratuito resolve com folga.

O "não seguro" atrapalha no Google?

Atrapalha. O Google usa o HTTPS como critério de posição desde 2014 e prefere sites com o cadeado. Além do buscador, o próprio aviso vermelho espanta o comprador antes dele ler qualquer coisa. Você perde nos dois lados: aparece menos e converte menos.

Como eu resolvo o "não seguro" no meu site?

Quase sempre é questão de ativar o certificado gratuito na hospedagem e apontar o site pra abrir em HTTPS. Em painel de hospedagem moderno isso é um botão. O trabalho de verdade costuma ser fazer o site inteiro passar a carregar em HTTPS, sem sobrar imagem ou link antigo em HTTP, que reacende o aviso. É rápido pra quem sabe onde mexer.

Análise gratuita

O seu site mostra o tamanho que a sua indústria tem?

Me conta sobre a sua indústria. Eu olho o seu site sem custo e te mostro, na prática, onde ele deixa o comprador desconfiado e o que fazer pra ele mostrar a força que a sua estrutura tem. E-mail e suporte entram na conversa também.

Resposta rápida, sem compromisso, direto no seu WhatsApp.

Pedir minha análise gratuita

Me chama no WhatsApp, quem responde sou eu Fale comigo no WhatsApp