HTTPS não é mais feature. É baseline.

Cinco anos atrás, vender um "site com SSL" ainda era uma feature de venda. O cadeado verde na barra. A frase "seu site fica seguro". Hoje, é o mínimo que se espera de um site profissional, e ter site sem isso já não é falha técnica — é sinal de negligência.

O que o navegador faz quando não há HTTPS

Chrome, Safari, Firefox, Edge: todos mostram "Não seguro" na barra de endereço de qualquer página HTTP. Formulários com inputs sensíveis são bloqueados ou geram avisos vermelhos. No mobile, o aviso aparece em tela cheia antes do usuário conseguir enviar qualquer coisa.

Visto do ponto de vista de quem compra: o visitante chega no site, vê o aviso, e fecha. Não importa quão bom é o produto. A confiança quebrou em três segundos.

Onde HTTPS já é tecnicamente obrigatório

Service Workers (PWA, offline-first) só funcionam em HTTPS. HTTP/2 e HTTP/3 também. Geolocalização, câmera, microfone, push notifications — todas dependem de contexto seguro. APIs modernas, no geral, se recusam a rodar fora de HTTPS.

Na prática: qualquer aplicação minimamente moderna precisa de HTTPS pra sequer arrancar.

Quanto custa

Zero. Let's Encrypt emite certificados gratuitos com renovação automática há quase uma década. Cloudflare oferece SSL flexível também grátis. Qualquer hospedagem séria em 2026 instala SSL com um clique. Não tem desculpa de custo — e, na real, não tem desculpa nenhuma.

O que verificar agora

• O domínio principal redireciona automaticamente de HTTP para HTTPS
• Todos os subdomínios (www, app, admin) também forçam HTTPS
• O certificado é válido em todos os navegadores e se renova sozinho
• HSTS está ativo (header Strict-Transport-Security)
• Não há mixed content — recursos sendo carregados via HTTP dentro de uma página HTTPS

Se algum desses pontos não passa, o problema não é decorativo. É operacional.