Guia completo de certificados SSL: desde a seleção do tipo até os passos práticos de validação da instalação.

Leitura de 2 minutos
2026-03-15
2,488
Eu recebo uma comissão quando você faz compras através dos links abaixo, sem custo adicional para você.

No ambiente da internet de hoje, os certificados SSL tornaram-se a pedra angular da segurança e da confiabilidade dos websites. Eles garantem a privacidade e a integridade de todos os dados transmitidos ao estabelecerem uma conexão encriptada entre o cliente (como um navegador) e o servidor. Para qualquer proprietário de website, desenvolvedor ou administrador de sistemas, entender e implantar corretamente os certificados SSL é uma habilidade essencial. Este guia tem como objetivo fornecer um caminho claro, ajudando você a começar com o entendimento dos diferentes tipos de certificados e, em seguida, completar todo o processo de instalação e verificação.

Conceitos básicos e princípios de funcionamento dos certificados SSL

A função principal do certificado SSL é habilitar o protocolo HTTPS, o que depende da tecnologia de criptografia assimétrica. Quando um usuário acessa um site que utiliza HTTPS, seu navegador realiza um “aperto de mão SSL/TLS” com o servidor, que é um processo crítico de negociação de segurança.

Criptografia Assimétrica e Infraestrutura de Chaves Públicas

O certificado SSL é baseado no sistema de Infraestrutura de Chaves Públicas (PKI – Public Key Infrastructure). Cada certificado contém um par de chaves: uma chave pública e uma chave privada. A chave pública está incluída no próprio certificado e pode ser distribuída publicamente, sendo utilizada para criptografar dados ou verificar assinaturas; a chave privada, por sua vez, é mantida em segredo pelo servidor e é usada para descriptografar dados ou criar assinaturas digitais. Quando um navegador se conecta a um servidor, este apresenta o seu certificado SSL. O navegador utiliza a chave pública contida no certificado para criptografar uma “chave de sessão” aleatória e a envia de volta para o servidor. Apenas o servidor que possui a chave privada correspondente consegue descriptografar essa chave de sessão. A partir desse momento, ambas as partes utilizam essa chave de sessão simétrica e eficiente para criptografar todas as comunicações subsequentes.

Leitura recomendada Análise Abrangente dos Certificados SSL: Do Princípio à Implantação – Um Guia Essencial para Garantir a Segurança dos Sites Web

A função de uma autoridade emissora de certificados

A Autoridade Certificadora (CA) é uma entidade terceira amplamente confiada por navegadores e sistemas operacionais. Sua principal responsabilidade é verificar o controle e a legitimidade do solicitante do certificado sobre o domínio (e a organização) que deseja certificar. Após um processo de verificação, a CA utiliza sua própria chave privada para assinar digitalmente o pedido de certificado do solicitante, gerando assim o certificado SSL. Os navegadores contam com uma lista de certificados-raiz de CA confiáveis, que permitem verificar a validade das assinaturas dos certificados emitidos por essas autoridades, estabelecendo assim uma cadeia de confiança que vai desde os certificados-raiz confiáveis até o certificado do seu site.

Certificado SSL da Bluehost
Certificado SSL da Bluehost
Os certificados SSL da BlueHost oferecem opções de extensão de 1 a 2 anos, suporte para algoritmos RSA ou ECC, comprimentos de chave de até 4.096 bits e proteção de até US$ 1,75 milhão.
A partir de $7,49 USD por mês
Acesso aos Certificados SSL da Bluehost →
Certificado SSL da hosting.com
Certificado SSL da hosting.com
Certificados SSL DV, OV e EV acessíveis, criptografia de até 256 bits, valor de proteção de 5 a 1 milhão de dólares, suporte 24 horas por dia, 7 dias por semana
A partir de $2,5 USD por mês
Visite hosting.com Certificados SSL →

Análise aprofundada dos principais tipos de certificados SSL

Escolher o tipo de certificado correto é o primeiro passo, e isso depende das suas necessidades de negócios e do nível de segurança desejado. Os certificados podem ser classificados principalmente com base em dois critérios: o nível de verificação e os domínios que eles cobrem.

Classificar por nível de validação

O certificado de validação de domínio é o tipo mais básico. A autoridade de certificação (CA) verifica apenas o controle do solicitante sobre o domínio, por exemplo, enviando um e-mail de validação para o endereço de e-mail registrado no domínio ou colocando um arquivo específico no diretório raiz do site. Os certificados DV são emitidos rapidamente e a um custo baixo, sendo adequados para sites pessoais, blogs ou ambientes de teste.

Os certificados de verificação organizacional oferecem um nível maior de confiabilidade. As autoridades de certificação (CA – Certification Authorities) não apenas verificam a propriedade dos domínios, mas também a autenticidade e a legalidade da organização que solicitou o certificado, por exemplo, verificando suas informações de registro em órgãos governamentais. Os certificados OV (Organizational Validation) exibem essas informações verificadas nos detalhes do certificado, o que ajuda a provar aos usuários que há uma entidade real por trás do site. Eles são frequentemente utilizados em sites oficiais de empresas e plataformas de comércio eletrônico.

Os certificados de verificação estendida (Extended Validation Certificates – EV Certificates) são os mais rigorosos e possuem o mais alto nível de confiança. Os solicitantes precisam passar por um processo de avaliação rigoroso. Quando um usuário visita um site que utiliza um certificado EV, os principais navegadores não apenas exibem um símbolo de segurança, mas também mostram o nome da empresa verificada em uma posição destacada na barra de endereços, o que aumenta significativamente a confiança do usuário. Esses certificados são a escolha preferida em setores que exigem alta segurança, como finanças e pagamentos.

Leitura recomendada Análise Completa dos Certificados SSL: Um Guia Definitivo desde a Escolha do Tipo até a Instalação e Configuração

Classificado por domínios de internet a serem substituídos

Um certificado de domínio único, como o nome sugere, protege apenas um domínio totalmente qualificado (por exemplo…). www.example.comEle não protege seus subdomínios (como…). blog.example.com) ou o nome de domínio raiz (example.comA menos que seja especificamente incluído.

Os certificados com caracteres curinga utilizam um asterisco (*) como substituto para os nomes dos subdomínios, permitindo proteger um domínio principal e todos os seus subdomínios de mesmo nível. Por exemplo, um certificado desse tipo pode proteger o domínio “example.com” e todos os seus subdomínios, como “subdomain1.example.com” e “subdomain2.example.com”. *.example.com Os certificados de caractere curinga emitidos podem fornecer proteção simultânea para… www.example.commail.example.comshop.example.com Isso traz grande conveniência e economia de custos para a gestão de múltiplos subdomínios.

Um certificado com vários domínios permite proteger vários domínios completamente diferentes em um único certificado. Esses domínios podem pertencer a diferentes domínios principais (root domains). example.comexample.net e anotherexample.orgA tecnologia do campo SAN (Subject Alternative Name) torna essa proteção possível, sendo muito adequada para fornecer uma gestão de segurança unificada para empresas que possuem várias marcas ou linhas de negócios.

Certificado SSL da UltaHost
Certificados DV, EV, OV, cobertura de até $1.750.000 USD, subdomínios ilimitados, aplicativos para iOS e Android, desconto de 20% por mês, $15,95 USD em diante, garantia de reembolso de 30 dias!

Passos práticos para obter e instalar um certificado SSL

Desde a solicitação até a implantação bem-sucedida do certificado, é necessário seguir uma série de etapas claras. A seguir, encontrará um guia prático baseado no processo geral.

Primeiro passo: gerar uma solicitação de assinatura de certificado.

Todo o processo começa com a geração de um pedido de assinatura de certificado (CSR – Certificate Signing Request) no seu servidor. O CSR é um bloco de texto criptografado que contém a sua chave pública, o domínio para o qual você deseja solicitar o certificado, informações da sua organização e outros dados relevantes. Ao gerar o CSR, o sistema também cria a chave privada correspondente. A chave privada deve ser armazenada de forma segura no servidor e nunca deve ser divulgada. Você precisa enviar o conteúdo do arquivo CSR gerado para a autoridade de certificação (CA – Certificate Authority) que escolheu.

Segundo passo: Envio para verificação e emissão do certificado

Após enviar o CSR (Certificate Signing Request) para a CA (Certificate Authority), a CA iniciará o processo de verificação correspondente com base no tipo de certificado que você escolheu (DV, OV ou EV). Para certificados DV, a verificação é geralmente concluída em poucos minutos a algumas horas; certificados OV e EV exigem uma revisão manual que leva mais tempo. Após a verificação ser aprovada, a CA emitirá o arquivo do certificado SSL (que geralmente é um arquivo .crt). .crt ou .pem O formato será enviado para você por e-mail ou um link para download será fornecido.

Leitura recomendada O que é um certificado SSL: princípios, tipos e diretrizes de segurança para sites.

Passo 3: Instalar o certificado no servidor

Após obter o arquivo do certificado, você precisará instalá-lo juntamente com a chave privada gerada anteriormente no seu software de servidor web. Os métodos de instalação variam dependendo do tipo de servidor (como Apache, Nginx, IIS). Geralmente, é necessário editar o arquivo de configuração do servidor, especificar os caminhos para os arquivos do certificado e da chave privada, e garantir que o servidor esteja configurado para ouvir na porta 443 (a porta padrão para HTTPS). Após a instalação, é necessário reiniciar o serviço web para que as alterações entrem em vigor.

Quarto passo: Configurar o uso obrigatório de HTTPS e HSTS

Após a instalação do certificado, o seu site passará a suportar acessos tanto via HTTP quanto via HTTPS. Para garantir a segurança, é necessário redirecionar todo o tráfego HTTP para HTTPS. Isso pode ser feito adicionando regras de redirecionamento permanente (tipo 301) na configuração do servidor. Para aumentar ainda mais a segurança, você pode considerar implementar a política de Transferência Segura de HTTP (HSTS – HTTP Strict Transport Security). Ao enviar um cabeçalho de resposta para o navegador, você indica que, por um determinado período de tempo, apenas conexões via HTTPS serão permitidas para esse domínio, o que ajuda a prevenir ataques de “SSL stripping”.

Verificação após a instalação e melhores práticas

A instalação do certificado não significa o fim do trabalho; a verificação contínua, o monitoramento e a manutenção são essenciais para garantir a segurança a longo prazo.

Use uma ferramenta online para verificar a instalação.

Após a implementação, você deve usar imediatamente ferramentas gratuitas de verificação SSL online (como o SSL Server Test do SSL Labs) para realizar uma análise completa do seu site. Essas ferramentas avaliam a validade dos certificados, a força dos conjuntos de criptografia configurados, o suporte aos protocolos (por exemplo, se os protocolos SSLv2/v3 inseguros estão desativados e se o TLS 1.2/1.3 é suportado), e fornecem avaliações detalhadas e recomendações de correção. Uma classificação “A” ou “A+” é o que você deve buscar.

Gerenciamento do ciclo de vida do certificado

SSL证书不是永久有效的,通常有1年或更短的有效期。证书过期是导致网站无法访问的最常见安全故障之一。必须建立有效的监控和续期流程。强烈建议启用证书的自动续期功能,许多CA和证书管理平台(如Let‘s Encrypt的ACME客户端)都提供此服务。同时,应定期检查并更新服务器上的加密套件和协议配置,以应对新出现的安全漏洞。

Implementar otimizações no desempenho da montagem (binding) do protocolo OCSP

Quando o navegador verifica um certificado, pode ser necessário consultar o status do certificado on-line (por meio do protocolo OCSP), o que pode aumentar o atraso na conexão. A tecnologia de “Stapling OCSP” permite que o servidor envie, durante o handshake TLS, o comprovante de status do certificado assinado pela autoridade de certificação (CA) diretamente para o navegador, eliminando a necessidade de uma consulta separada por parte do navegador. Isso não só acelera a conexão, mas também protege a privacidade do usuário.

resumos

A implementação de certificados SSL e a ativação do protocolo HTTPS passaram de uma prática recomendável para uma exigência obrigatória na operação de sites modernos. Isso não apenas protege a segurança dos dados dos usuários durante a transmissão, mas também é um fator importante para construir a confiança dos usuários e melhorar a classificação nos mecanismos de busca. Ao entender os diferentes tipos de certificados, seguir os procedimentos corretos para sua solicitação e instalação, e realizar verificações e otimizações após a instalação, você pode criar uma defesa de segurança eficaz para o seu site. Lembre-se de que a segurança cibernética é um processo contínuo, e a revisão e atualização regulares da sua configuração SSL/TLS são essenciais para manter essa defesa.

Perguntas frequentes Perguntas frequentes

Qual é a diferença entre um certificado SSL gratuito e um pago?

免费证书(如Let‘s Encrypt颁发的)通常是域名验证(DV)类型,提供了与付费DV证书相同的基础加密强度。主要区别在于支持服务、保险赔付、有效期(免费证书通常为90天,需要频繁续期)以及证书类型选择。付费证书提供组织验证(OV)和扩展验证(EV)选项,并附带技术支持和技术保险,更适合企业级应用。

Um certificado SSL pode ser usado para vários servidores?

Sim, mas é necessário prestar atenção à segurança na distribuição da chave privada. Você pode instalar o mesmo certificado e a mesma chave privada em vários servidores de backend ou balanceadores de carga para fornecer o mesmo serviço de criptografia. No entanto, isso aumenta o risco de vazamento da chave privada. Uma abordagem mais segura, para arquiteturas distribuídas, é gerar um CSR (Certificate Signing Request) e um par de chaves independentes para cada servidor, ou utilizar soluções de certificados que suportem a implantação em múltiplos servidores.

Por que, apesar de o meu site ter um certificado SSL instalado, o navegador ainda mostra “Não seguro”?

Isso geralmente acontece porque o conteúdo da página da web é misturado entre conteúdo seguro (HTTPS) e conteúdo inseguro (HTTP), o que é conhecido como problema de “conteúdo misto”. Por exemplo, embora a página principal seja carregada através do protocolo HTTPS, as imagens, arquivos JavaScript ou arquivos CSS contidos nela ainda são referenciados usando o protocolo HTTP. Como resultado, o navegador emite um aviso de que a página não é completamente segura. Você precisa verificar e garantir que todos os recursos da página da web (como imagens, scripts, tabelas de estilo e iframes) tenham links que começam com “https://”.

O que acontece quando meu certificado SSL expira?

Após a expiração do certificado, quando um usuário acessar o seu site, o navegador exibirá uma página de aviso grave, indicando que a conexão não é segura e pode impedir que o usuário continue a navegar. Isso resultará em uma experiência de usuário muito ruim, em uma queda acentuada no tráfego do site e em danos significativos à reputação da marca. É essencial renovar o certificado e reinstalá-lo antes de sua expiração. Configurar a renovação automática e notificações antes da expiração é a melhor prática para evitar esse problema.

Os certificados com caracteres curinga são seguros? Quais são os riscos se a chave privada for vazada?

Certificados com caracteres curinga são muito convenientes no gerenciamento, mas também trazem riscos de segurança específicos. Se um certificado for comprometido… *.example.com O vazamento da chave privada do certificado com caractere curinga pode permitir que os atacantes utilizem essa chave para se passar por qualquer dos seus subdomínios. pay.example.comEles podem ser usados para realizar ataques de intermediário (man-in-the-middle). Portanto, é essencial proteger com extremo rigor a chave privada dos certificados com caracteres curinga, armazená-la em um ambiente altamente seguro e distribuí-la apenas para os servidores necessários. Para subdomínios de extrema importância (como sistemas de pagamento), considere o uso de certificados individuais para cada domínio, a fim de garantir uma maior segurança.