O que é um certificado SSL? Uma explicação detalhada sobre o seu funcionamento, tipos e um guia completo para a instalação e configuração.

Leitura de 2 minutos
2026-03-19
2,624
Eu recebo uma comissão quando você faz compras através dos links abaixo, sem custo adicional para você.

No ambiente da internet de hoje, a segurança dos websites é a pedra angular da confiança dos usuários. Quando você vê um ícone de cadeado verde na barra de endereços do navegador, ou quando o endereço da web começa com “https”, isso significa que o website está utilizando um certificado SSL. Isso não é apenas um símbolo de segurança, mas também uma tecnologia essencial para a comunicação encriptada entre o website e os visitantes.

Um certificado SSL é um tipo de certificado digital que segue os protocolos SSL (Secure Sockets Layer) e seu sucessor, TLS (Transport Layer Security). Ele é utilizado para estabelecer uma conexão encriptada entre um servidor (um site da internet) e um cliente (um navegador). Sua principal função é garantir a transmissão encriptada de dados e a autenticação do servidor, impedindo que os dados sejam roubados ou alterados durante o transporte, além de confirmar que o site que você está visitando é legítimo e confiável, e não um site falso (um “site de phishing”).

Como funcionam os certificados SSL

O princípio de funcionamento do certificado SSL baseia-se na combinação de criptografia assimétrica (criptografia de chave pública) e criptografia simétrica; esse processo é normalmente chamado de “aperto de mão SSL” (SSL handshake). Embora seja complexo, o objetivo é estabelecer um canal de comunicação encriptado de forma rápida e segura entre o usuário e o servidor da página web.

Leitura recomendada Análise aprofundada do funcionamento dos certificados SSL, escolha dos tipos e melhores práticas de instalação e implementação

Criptografia Assimétrica e Criptografia Simétrica

No início da troca de cumprimentos (ou handshake), é utilizada a criptografia assimétrica. O servidor possui um certificado SSL, que contém um par de chaves: uma chave pública e uma chave privada. A chave pública é pública e pode ser obtida por qualquer pessoa; ela é usada para criptografar informações. A chave privada, por sua vez, é mantida em segredo pelo servidor e é utilizada para descriptografar as informações que foram criptografadas com a chave pública correspondente. A criptografia assimétrica oferece alta segurança, mas exige um grande esforço computacional e, portanto, é mais lenta.

Certificado SSL da Bluehost
Certificado SSL da Bluehost
Os certificados SSL da BlueHost oferecem opções de extensão de 1 a 2 anos, suporte para algoritmos RSA ou ECC, comprimentos de chave de até 4.096 bits e proteção de até US$ 1,75 milhão.
A partir de $7,49 USD por mês
Acesso aos Certificados SSL da Bluehost →
Certificado SSL da hosting.com
Certificado SSL da hosting.com
Certificados SSL DV, OV e EV acessíveis, criptografia de até 256 bits, valor de proteção de 5 a 1 milhão de dólares, suporte 24 horas por dia, 7 dias por semana
A partir de $2,5 USD por mês
Visite hosting.com Certificados SSL →

Assim que um “chave de sessão” for trocado de forma segura por meio de criptografia assimétrica, as duas partes passam a utilizar criptografia simétrica. A criptografia simétrica utiliza a mesma chave para tanto o processo de encriptação quanto o de desencriptação, e sua vantagem é a alta velocidade, o que a torna adequada para o criptografia de grandes volumes de dados. Todos os dados transmitidos durante a sessão serão encriptados utilizando essa chave de sessão temporária.

Detalhado processo de handshake do SSL

Quando um usuário visita por primeira vez um site que utiliza o protocolo HTTPS, o processo de handshake SSL é iniciado automaticamente. Primeiramente, o navegador do usuário envia uma mensagem de “saudação do cliente” para o servidor, contendo as versões de SSL/TLS que são suportadas pelo navegador, bem como uma lista dos algoritmos de criptografia disponíveis.

O servidor responde com uma mensagem de “saudação do servidor”, seleciona um conjunto de criptografia compatível com ambos os lados e envia seu certificado SSL (que contém a chave pública). Após receber o certificado, o navegador realiza uma série de verificações rigorosas: verifica se o certificado foi emitido por uma autoridade de certificação (CA) confiável, se o certificado ainda está válido, e se o nome de domínio nele contido corresponde ao nome de domínio do site que está sendo acessado.

Após a verificação ser aprovada, o navegador gera um “pré-chave mestra” aleatória, que é encriptada com a chave pública do servidor e enviada para este. Apenas o servidor que possui a chave privada correspondente consegue descriptografar essa informação e obter o “pré-chave mestra”. Em seguida, ambas as partes utilizam esse pré-chave mestra para gerar, de forma independente, a mesma “chave de sessão”.

Leitura recomendada Explicação detalhada dos certificados SSL: tipo, seleção, instalação e guia completo de implantação segura.

Por fim, as duas partes trocam uma mensagem de “conclusão” encriptada com a chave de sessão, a fim de verificar que o processo de handshake foi bem-sucedido e que a chave está correta. Com isso, o canal de criptografia seguro é estabelecido, e todos os pedidos e respostas HTTP subsequentes serão realizados através desse canal encriptado.

Os principais tipos de certificados SSL

De acordo com o nível de verificação e as necessidades funcionais, os certificados SSL são divididos em três categorias principais: com verificação de domínio, com verificação organizacional e com verificação estendida. Além disso, dependendo do número de domínios que são protegidos, existem também certificados para um único domínio, para vários domínios e certificados com caracteres curinga.

Classificar por nível de validação

Os certificados de verificação de domínio são os que são emitidos mais rapidamente e custam menos. A autoridade de certificação (CA) verifica apenas a propriedade do domínio pelo solicitante (por exemplo, através da verificação de um e-mail especificado ou da configuração de registros de resolução DNS). Eles oferecem apenas funcionalidades básicas de criptografia e não exibem o nome da empresa, sendo adequados para sites pessoais, blogs ou ambientes de teste.

Certificado SSL da UltaHost
Certificados DV, EV, OV, cobertura de até $1.750.000 USD, subdomínios ilimitados, aplicativos para iOS e Android, desconto de 20% por mês, $15,95 USD em diante, garantia de reembolso de 30 dias!

Os certificados de verificação organizacional (Organizational Validation Certificates) adicionam uma verificação da autenticidade da organização ao processo de verificação de domínio (Domain Validation – DV). O autoridade de certificação (CA) verifica as informações oficiais da empresa, como o seu registro comercial (por exemplo, a licença de operação). Após a instalação de um certificado OV, os usuários podem visualizar o nome da empresa nas informações do certificado, o que contribui para aumentar a confiabilidade do site. Esses certificados são adequados para sites oficiais de empresas e sites comerciais.

Os certificados de verificação estendida (Extended Validation – EV) são os mais rigorosos em termos de validação e possuem o mais alto nível de segurança. As autoridades de certificação (CAs – Certification Authorities) realizam as verificações mais abrangentes, incluindo a legalidade da organização, a situação operacional atual e o processo de solicitação de autorização. A principal característica desses certificados é que, nos websites que os utilizam, o nome da empresa é exibido em verde diretamente na barra de endereços na maioria dos navegadores populares, fornecendo ao usuário o nível mais alto de confiança visual. Eles são geralmente utilizados por instituições financeiras e grandes plataformas de comércio eletrônico.

Classificado por domínios de internet a serem substituídos

Um certificado de domínio único, como o nome indica, protege apenas um domínio específico (por exemplo, www.example.com ou example.com). Um certificado para vários domínios permite adicionar e proteger vários domínios completamente diferentes em um único certificado (por exemplo, example.com, example.net, shop.example.org). Os certificados com caracteres curinga são usados para proteger um domínio principal e todos os seus subdomínios do mesmo nível; o campo “Subject” do certificado geralmente é configurado como *.example.com, o que abrange domínios como blog.example.com e mail.example.com. Isso oferece grande conveniência em termos de gerenciamento e custos para empresas que possuem muitos subdomínios.

Leitura recomendada O que é um certificado SSL: Como funciona, tipos e guias de implantação

Como solicitar e instalar um certificado SSL?

Implantar um certificado SSL para um site é um processo sistemático que envolve várias etapas, incluindo a solicitação do certificado, sua verificação, o download e a configuração de sua instalação.

Solicitação de certificado e validação pela CA

Primeiramente, é necessário gerar um arquivo CSR (Certificate Signing Request) no seu servidor. O CSR é um pedido de assinatura de um certificado, que contém a sua chave pública e informações relevantes sobre a sua organização. Ao gerar o CSR, o sistema também criará a chave privada correspondente, a qual deve ser armazenada de forma segura no servidor e nunca divulgada.

Em seguida, envie o arquivo CSR (Certificate Signing Request) para a autoridade emissora de certificados selecionada e escolha o tipo de certificado desejado. De acordo com o tipo de certificado escolhido, a autoridade emissora (CA – Certificate Authority) iniciará o processo de verificação correspondente. Para certificados DV (Domain Validation), você pode precisar comprovar o controle do domínio por meio de respostas por e-mail, upload de arquivos especificados para o diretório raiz do site ou adição de um registro DNS. Para certificados OV/EV (Organizational Validation/Extended Validation), a autoridade emissora pode entrar em contato com sua organização para confirmação por telefone ou solicitar a apresentação de documentos legais.

Após a verificação ser aprovada, a autoridade de certificação (CA) emitirá o certificado, geralmente em formato de pacote compactado, que contém o certificado do seu domínio, o certificado da CA intermediária e o certificado da CA raiz.

Instalação e configuração do servidor

Carregue o arquivo de certificado emitido pela CA (geralmente um arquivo . crt ou . pem) e o arquivo de chave privada que você gerou no primeiro passo para o diretório especificado no servidor. Configure o software do seu servidor web para habilitar o SSL.

Para o servidor Nginx, você precisa editar o arquivo de configuração do site e especificar as opções no bloco `server`. ssl_certificate(Caminho do arquivo da cadeia de certificados) e ssl_certificate_key(O caminho do arquivo da chave privada), e escute na porta 443. Para o servidor Apache, é necessário ativar o módulo SSL na configuração do host virtual e usá-lo. SSLCertificateFile e SSLCertificateKeyFile Instruções.

Após a instalação, é essencial utilizar ferramentas online ou a linha de comando para verificar se o certificado foi instalado corretamente, se a cadeia de certificados está completa e se todos os pedidos HTTP estão sendo redirecionados para HTTPS. Este é um passo crucial para garantir que o site esteja totalmente protegido por criptografia.

O protocolo SSL/TLS e as melhores práticas de segurança

A simples instalação de um certificado não garante segurança absoluta. A utilização de pacotes de criptografia robustos e a adesão às melhores práticas são essenciais para manter a segurança de um site HTTPS.

Desativar protocolos e conjuntos de criptografia inseguros

Os protocolos SSL antigos (como SSL 2.0 e SSL 3.0) foram comprovados ter graves vulnerabilidades de segurança e devem ser desativados. Atualmente, o TLS 1.2 e o TLS 1.3 são os padrões seguros e amplamente suportados. Na configuração do servidor, é necessário desativar claramente os protocolos SSLv2, SSLv3, TLS 1.0 e TLS 1.1.

Da mesma forma, é necessário desativar os conjuntos de criptografia conhecidos como vulneráveis, como aqueles que utilizam algoritmos de criptografia fracos como RC4, DES ou baseados no modo CBC. Deve-se priorizar a configuração de conjuntos de criptografia que ofereçam confidencialidade direcional (forward secrecy); assim, mesmo que a chave privada do servidor seja revelada no futuro, as comunicações criptografadas interceptadas no passado não poderão ser descriptografadas.

Ativar o HSTS e o monitoramento de certificados

HSTS (HTTP Strict Transport Security) é um mecanismo importante de política de segurança. Isso é alcançado ao definir determinadas configurações nos cabeçalhos das respostas HTTP.Strict-Transport-SecurityÉ possível informar o navegador que, por um determinado período de tempo no futuro (por exemplo, um ano), este site só poderá ser acessado através de HTTPS. Isso pode ajudar a prevenir ataques de “SSL stripping” e os riscos potenciais decorrentes de usuários inserirem acidentalmente endereços HTTP.

A gestão de certificados não é algo que pode ser resolvido de uma vez por todas. É necessário estabelecer mecanismos de monitoramento para acompanhar as datas de vencimento dos certificados e garantir que a renovação e a substituição sejam realizadas antes que eles expirem, a fim de evitar que o site fique inacessível devido à expiração dos certificados. Além disso, é importante acompanhar as novidades do setor de CA (Certification Authorities) e os avisos de segurança, substituindo prontamente os certificados que tenham sido revogados ou que apresentem vulnerabilidades.

resumos

O certificado SSL é uma tecnologia fundamental para a construção de uma internet segura e confiável. Ele estabelece um canal de comunicação seguro, protegido contra escutas e alterações, entre o usuário e o site, através de uma combinação complexa de criptografia assimétrica e simétrica. Desde os certificados DV básicos até os certificados EV, que demonstram a confiança da marca, existem diferentes tipos de certificados que atendem a uma variedade de necessidades de segurança e negócios. A implementação bem-sucedida do HTTPS envolve não apenas os procedimentos corretos de solicitação, verificação e instalação, mas também a necessidade de manter um foco contínuo na segurança do protocolo, desativar componentes vulneráveis e ativar práticas recomendadas, como o HSTS. Em 2026 e no futuro, com a evolução constante das ameaças à segurança da rede, a compreensão e o uso adequado das tecnologias SSL/TLS serão habilidades essenciais para todos os operadores e desenvolvedores de websites.

Perguntas frequentes Perguntas frequentes

Qual é a relação entre os certificados SSL e o HTTPS?

O certificado SSL é a base técnica para a implementação do protocolo HTTPS. O HTTPS, em essência, é o protocolo HTTP operando sobre uma camada de criptografia SSL/TLS. Quando um site instala um certificado SSL válido e o configura corretamente, uma conexão criptografada SSL/TLS é estabelecida entre o servidor e o navegador. Nesse caso, o protocolo exibido na barra de endereços do navegador é “HTTPS”, acompanhado por um símbolo de cadeado de segurança. Sem um certificado SSL, não é possível habilitar o HTTPS.

Qual é a diferença entre um certificado SSL gratuito e um pago?

免费证书(如Let‘s Encrypt颁发的)通常是域名验证型证书,提供了与付费DV证书相同强度的加密功能,非常适合个人网站、小型项目或测试环境。其主要限制在于有效期较短(通常90天),需要频繁自动续期。

Os certificados pagos oferecem mais opções, incluindo verificação OV (Organizational Validation) e EV (Extended Validation), que permitem a exibição de informações da empresa e contribuem para melhorar a sua reputação comercial. Os serviços pagos geralmente vêm acompanhados de suporte técnico mais completo, limites de indenização mais altos e uma infraestrutura de CA (Certificate Authority) mais estável. Para sites comerciais, plataformas de comércio eletrônico ou sites que lidam com informações sensíveis, os certificados pagos representam uma escolha mais profissional.

A instalação de um certificado SSL afeta a velocidade do site?

Ativar a criptografia SSL/TLS de fato introduz um custo computacional adicional, principalmente na fase inicial de “conexão” (handshake), devido às operações de criptografia assimétrica envolvidas. No entanto, com o aumento do desempenho do hardware dos servidores modernos e as otimizações do protocolo TLS 1.3 (que tornam o processo de conexão mais rápido), esse impacto no desempenho tornou-se insignificante, sendo geralmente imperceptível para os usuários.

Pelo contrário, ativar o HTTPS também pode trazer vantagens em termos de velocidade. Por exemplo, os navegadores modernos oferecem mais suporte para sites que utilizam o HTTPS, e o protocolo HTTP/2 exige que as conexões sejam feitas via HTTPS. Além disso, recursos como o multiplexamento do HTTP/2 podem melhorar significativamente a velocidade de carregamento das páginas. Portanto, do ponto de vista da experiência do usuário como um todo, as vantagens de ativar o HTTPS superam em muito as desvantagens.

Quais são as consequências de um certificado expirado?

O vencimento do certificado SSL pode levar a consequências graves. Quando um navegador acessa um site cujo certificado expirou, ele exibe um aviso de segurança chamativo, indicando que a conexão não é segura. Isso faz com que muitos usuários abandonem o site devido a preocupações com a segurança, afetando significativamente a credibilidade e o tráfego do site.

Tecnicamente, certificados expirados não permitem a criação de conexões TLS seguras. Portanto, é essencial implementar um processo eficaz de monitoramento da expiração dos certificados e de renovação automática, a fim de garantir que as atualizações sejam realizadas antes que os certificados percam a validade, evitando assim interrupções no serviço e riscos à segurança.