Como Migrar um Site de HTTP para HTTPS

Migrar um site de HTTP para HTTPS é um dos passos mais importantes para a segurança do seu site e para a confiança dos visitantes. O Google assinala os sites HTTP como "Não seguro" no Chrome, o que afasta os visitantes. Além disso, o HTTPS é um fator de classificação no Google. Consulte o nosso guia detalhado de SEO para mais informações - desde 2014. Neste guia vamos acompanhá-lo em todo o processo de migração, passo a passo.

Porque é que o HTTPS é importante

O HTTPS (Hypertext Transfer Protocol Secure) encripta a comunicação entre o navegador do visitante e o seu servidor. Sem HTTPS, toda a informação - incluindo palavras-passe, dados de cartões de crédito e dados pessoais - é enviada como texto simples que qualquer pessoa na rede pode ler. Isto é especialmente perigoso em redes WiFi públicas, onde um atacante pode facilmente intercetar o tráfego não encriptado.

Para além da segurança, o HTTPS influencia a confiança dos utilizadores. O Chrome mostra o ícone de um cadeado junto ao URL nos sites HTTPS e um aviso "Não seguro" nos sites HTTP. Segundo estudos, 85% dos compradores online não compram num site sem HTTPS. Mesmo nos sites que não processam dados sensíveis, o HTTPS tornou-se o padrão que os utilizadores esperam.

O Google utiliza o HTTPS como sinal de classificação desde agosto de 2014. Os sites com HTTPS têm uma vantagem pequena mas mensurável nos resultados de pesquisa em relação aos sites HTTP. Além disso, muitas tecnologias web modernas (HTTP/2, HTTP/3, Service Workers, Geolocation API) exigem HTTPS para funcionarem.

Passo 1: Obter um certificado SSL

Um certificado digital para proteção da comunicação web é o certificado que permite uma ligação HTTPS. Existem vários tipos de certificados SSL. O certificado DV (Domain Validation) é o mais simples e rápido de obter - apenas confirma a propriedade do domínio e é normalmente emitido em poucos minutos. É uma escolha suficiente para a maioria dos sites.

O certificado OV (Organization Validation) confirma adicionalmente a identidade da organização e exige a verificação dos dados da empresa. O certificado EV (Extended Validation) fornece o nível mais elevado de validação e mostra o nome da organização na barra de endereço do navegador. Os certificados OV e EV são recomendados para sites de comércio eletrónico e instituições financeiras.

A Let's Encrypt oferece certificados SSL DV gratuitos que se renovam automaticamente. A BeoHosting inclui certificados SSL Let's Encrypt gratuitos em todos os planos de alojamento, com instalação e renovação automáticas - não tem de fazer nada, o SSL fica ativo assim que o domínio propaga para o nosso servidor. Para empresas que necessitem de certificados OV ou EV, oferecemos também certificados SSL comerciais.

Passo 2: Instalar o certificado SSL

Se utiliza a BeoHosting, o SSL já está instalado e ativo no seu domínio. Noutros alojamentos, o processo depende do painel de controlo. No cPanel, vá a SSL/TLS Manager e depois a "Install and Manage SSL for your site". Selecione o domínio, introduza o certificado, a chave privada e o CA bundle, e clique em Install.

Para a Let's Encrypt no cPanel, vá a "Let's Encrypt SSL" ou a "SSL/TLS Status" e clique em "Issue" para o seu domínio. O processo é automático e o certificado fica ativo em segundos. Certifique-se de que emite o certificado tanto para a versão www como para a versão sem www do seu domínio, para que ambas fiquem abrangidas.

Após a instalação, teste se o SSL funciona corretamente abrindo o seu site com o prefixo https://. Deverá ver o ícone do cadeado na barra de endereço, sem avisos. Se vir um aviso sobre uma ligação insegura, o certificado pode não estar corretamente instalado ou pode haver um problema na cadeia do certificado.

Passo 3: Configurar os redireccionamentos

Após instalar o SSL, tem de redireccionar todo o tráfego HTTP para HTTPS. Sem redireccionamentos, o seu site estará disponível tanto em http:// como em https://, o que cria problemas de conteúdo duplicado para o SEO. Além disso, os utilizadores que escrevam o seu domínio sem o prefixo https:// continuarão a ver a versão insegura.

A forma mais comum de redireccionar é através do ficheiro .htaccess nos servidores Apache. Adicione o seguinte código no topo do ficheiro .htaccess: RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]. Isto redireccionará permanentemente (301) todos os pedidos HTTP para a versão HTTPS, preservando o caminho e os parâmetros originais.

Para servidores Nginx, adicione um bloco server à escuta na porta 80 que devolva um redireccionamento 301 para a versão https://. Para servidores LiteSpeed (que a BeoHosting utiliza), as regras do .htaccess funcionam da mesma forma que no Apache. Certifique-se de que utiliza um redireccionamento 301 (permanente), e não 302 (temporário), para que o Google transfira corretamente o valor de SEO para a versão HTTPS.

Para sites WordPress, altere também o WordPress Address e o Site Address em Definições > Geral, de http:// para https://. Isto garante que o WordPress gera todos os links internos com o prefixo HTTPS.

Passo 4: Corrigir o conteúdo misto

O conteúdo misto é o problema mais comum após a migração para HTTPS. Acontece quando uma página HTTPS carrega recursos (imagens, scripts, estilos) através de HTTP. O navegador bloqueia ou avisa sobre este conteúdo misto, porque os recursos não encriptados numa página encriptada comprometem a segurança do HTTPS.

Para encontrar conteúdo misto, abra o seu site no Chrome, prima F12 para abrir as Ferramentas de Programador e veja o separador Console. Cada problema de conteúdo misto será apresentado como aviso ou erro, com o URL exato do recurso problemático. Além disso, uma ferramenta como o Why No Padlock (whynopadlock.com) pode analisar o seu site em busca de problemas de conteúdo misto.

Para sites WordPress, o plugin Really Simple SSL corrige automaticamente a maioria dos problemas de conteúdo misto, alterando os links HTTP para HTTPS. Para correção manual, altere todos os links internos de http:// para https:// no conteúdo do site. Utilize a ferramenta Search Replace DB ou o plugin WordPress Better Search Replace para substituir em massa http://oseudominio.com por https://oseudominio.com na base de dados.

Para recursos externos (imagens de outros sites, scripts de terceiros), verifique se estão disponíveis através de HTTPS. A maioria dos serviços modernos suporta HTTPS. Se algum recurso externo não estiver disponível através de HTTPS, considere alojar esse recurso no seu próprio servidor ou encontrar uma alternativa que suporte HTTPS.

Passo 5: Atualizar o Google Search Console

O Google Search Console trata as versões HTTP e HTTPS do seu site como propriedades diferentes. Após migrar para HTTPS, tem de adicionar uma nova propriedade para https://oseudominio.com no Search Console. Não elimine a antiga propriedade HTTP - mantenha-a para acompanhar a forma como o Google faz a transição para a versão HTTPS.

Na nova propriedade HTTPS, submeta um sitemap.xml atualizado que contenha URLs HTTPS. Verifique se o robots.txt está disponível na versão HTTPS e se não bloqueia o acesso a páginas importantes. Acompanhe o relatório de Cobertura nas semanas seguintes para verificar se o Google está a indexar com sucesso as versões HTTPS das suas páginas.

Atualize também o seu site no Google Analytics (altere o URL predefinido para https://), no Google Business Profile e em todos os outros serviços onde o seu site esteja registado. Atualize os links nas redes sociais e nas assinaturas de email para utilizarem a versão HTTPS.

Passo 6: Verificação e testes

Após concluir todos os passos, teste o site exaustivamente. Verifique se todas as páginas carregam a versão HTTPS. Teste os redireccionamentos - escreva http://oseudominio.com, http://www.oseudominio.com, https://www.oseudominio.com e todos deverão levá-lo a https://oseudominio.com (ou à versão www, consoante a sua preferência).

Utilize o teste SSL Labs (ssllabs.com/ssltest) para verificar a configuração do certificado SSL. O objetivo é uma classificação A ou A+. Este teste verifica a versão do protocolo SSL/TLS, a força da encriptação, a cadeia do certificado e potenciais vulnerabilidades. Se tiver uma classificação inferior a A, siga as recomendações de melhoria.

Verifique se todos os formulários, o início de sessão dos utilizadores, as funcionalidades de comércio eletrónico e os elementos interativos funcionam corretamente através de HTTPS. Teste em diferentes navegadores e dispositivos. Acompanhe o Google Search Console nas semanas seguintes para detetar quaisquer erros na indexação da versão HTTPS.

Conclusão

Migrar de HTTP para HTTPS é um passo essencial para a segurança e o SEO do seu site. O processo exige atenção ao detalhe, mas, com a abordagem certa, pode ser concluído em algumas horas. Os passos fundamentais são a instalação do certificado SSL, a configuração dos redireccionamentos 301, a correção do conteúdo misto e a atualização do Search Console. Com a BeoHosting, o certificado SSL é gratuito e instalado automaticamente, eliminando o passo mais complexo do processo. Se precisar de ajuda para migrar para HTTPS, a nossa equipa de suporte está ao seu dispor.