Certificados SSL em detalhes: tipos, como funcionam e diretrizes de instalação e configuração

Leitura de 2 minutos
2026-03-11
2,826
Eu recebo uma comissão quando você faz compras através dos links abaixo, sem custo adicional para você.

O que é um certificado SSL?

O certificado SSL, também conhecido como certificado TLS, é um tipo de certificado digital utilizado para realizar autenticação e criptografia de dados nas comunicações na internet. Ele segue os protocolos SSL (Secure Sockets Layer) e seu sucessor, TLS (Transport Layer Security), sendo essencial para a criação de conexões seguras via HTTPS. Quando um usuário acessa um site que possui um certificado SSL instalado, uma marca de cadeado é exibida na barra de endereços do navegador, juntamente com o prefixo “https://”, indicando que a transmissão de dados entre o cliente e o servidor é encriptada e autenticada.

O papel central do certificado SSL se manifesta principalmente em dois aspectos: criptografia e autenticação. A função de criptografia garante que as informações sensíveis transmitidas entre o cliente (como um navegador) e o servidor (como senhas de login, números de cartões de crédito, dados pessoais) não sejam ouvidas ou alteradas por terceiros. Mesmo que os dados sejam interceptados durante a transmissão, os invasores não conseguem decifrar seu conteúdo. A função de autenticação comprova a identidade real do proprietário do site, garantindo que o visitante esteja acessando o site oficial pretendido, e não um site falso (phishing). Isso é realizado através do endosso de uma instituição terceira confiável, a Autoridade Certificadora (CA – Certificate Authority).

Um certificado SSL padrão contém várias informações importantes, incluindo o domínio do detentor do certificado (ou o nome da organização), a autoridade emissora do certificado (CA – Certificate Authority), a validade do certificado e um componente muito importante: a chave pública. A chave privada, que é emparelhada com a chave pública, é mantida em segredo pelo servidor da web e é utilizada para descriptografar as informações encriptadas pela chave pública, constituindo a base da criptografia assimétrica.

Leitura recomendada O guia completo para certificados SSL: tipos, implantação de aplicativos e solução de problemas

Os principais tipos de certificados SSL

De acordo com diferentes níveis de verificação e alcances de cobertura, os certificados SSL são divididos nos seguintes tipos, a fim de atender às necessidades de segurança e confiança em diferentes cenários.

Certificado SSL da Bluehost
Certificado SSL da Bluehost
Os certificados SSL da BlueHost oferecem opções de extensão de 1 a 2 anos, suporte para algoritmos RSA ou ECC, comprimentos de chave de até 4.096 bits e proteção de até US$ 1,75 milhão.
A partir de $7,49 USD por mês
Acesso aos Certificados SSL da Bluehost →
Certificado SSL da hosting.com
Certificado SSL da hosting.com
Certificados SSL DV, OV e EV acessíveis, criptografia de até 256 bits, valor de proteção de 5 a 1 milhão de dólares, suporte 24 horas por dia, 7 dias por semana
A partir de $2,5 USD por mês
Visite hosting.com Certificados SSL →

Certificado de validação de domínio

Os certificados de verificação de domínio são o tipo de certificado com o processo de obtenção mais simples, mais rápido e com o custo mais baixo. A autoridade emissora do certificado verifica apenas o controle do solicitante sobre o domínio específico, geralmente enviando um e-mail de verificação para o endereço de e-mail registrado no domínio ou solicitando a configuração de registros DNS específicos. Esses certificados comprovam apenas a propriedade do domínio e não contêm nenhuma informação sobre a empresa ou organização.

Os certificados DV são muito adequados para sites pessoais, blogs, ambientes de teste ou serviços internos que não necessitam de demonstrar a identidade da organização. A sua principal vantagem é a rapidez na emissão, que geralmente é concluída em poucos minutos. No entanto, devido à falta de verificação da entidade organizacional, o nível de confiança fornecido é relativamente baixo em contextos que exigem um alto grau de confiança comercial, como páginas de transações de comércio eletrônico.

Certificado de tipo de validação da organização

Os certificados de verificação organizacional oferecem um nível de confiança mais elevado do que os certificados DV. Além de verificar a propriedade do domínio, a autoridade de certificação (CA) também realiza uma auditoria manual da empresa ou organização que solicita o certificado, a fim de confirmar a veracidade e a validade de suas informações de registro legal, como o nome da empresa e sua localização. Essas informações verificadas são exibidas nos detalhes do certificado.

O certificado OV é a escolha ideal para sites comerciais, portais empresariais e plataformas que precisam estabelecer uma relação de confiança formal com os usuários. Quando os usuários clicam no símbolo de cadeado na barra de endereços do navegador para visualizar o certificado, eles podem ver o nome da empresa de forma clara, o que ajuda a aumentar a confiança deles e reduzir o risco de ataques de phishing. O processo de auditoria geralmente leva vários dias úteis.

Leitura recomendada Detalhado sobre Certificados SSL: Do princípio à implementação, um guia essencial para garantir a segurança dos websites

Certificado de validação estendida

Os certificados de verificação estendida (Extended Validation – EV) são o tipo de certificado SSL com a verificação mais rigorosa e o nível de confiança mais alto atualmente. A sua emissão segue diretrizes globais e uniformes, e as autoridades de certificação (CA – Certification Authorities) realizam as investigações de background mais abrangentes sobre as organizações que solicitam o certificado, incluindo as suas condições legais, físicas e operacionais. A característica mais evidente é que, nos websites que utilizam certificados EV, o nome da empresa é exibido em verde diretamente na barra de endereços na maioria dos navegadores populares.

Os certificados EV são normalmente adotados por instituições financeiras, grandes plataformas de comércio eletrônico, órgãos governamentais e qualquer site que lida com transações e dados de alta sensibilidade. Eles fornecem ao usuário o nível mais alto de garantia de identidade, sendo uma ferramenta eficaz para estabelecer a autoridade da marca e a sensação de segurança dos usuários. O processo de solicitação desses certificados é também o mais complexo e demorado.

Certificados de curinga e certificados de vários domínios.

Além do nível de verificação, existem também certificados funcionais, que são classificados com base no número de domínios que eles cobrem. Os certificados com caracteres curinga (wildcards) permitem proteger um domínio principal e todos os seus subdomínios de mesmo nível; por exemplo, um certificado para “*.example.com” pode ser usado simultaneamente em “www.example.com”, “mail.example.com”, “shop.example.com”, etc. Isso oferece grande conveniência em termos de gerenciamento e custos para organizações que possuem vários subdomínios.

Certificado SSL da UltaHost
Certificados DV, EV, OV, cobertura de até $1.750.000 USD, subdomínios ilimitados, aplicativos para iOS e Android, desconto de 20% por mês, $15,95 USD em diante, garantia de reembolso de 30 dias!

Um certificado para vários domínios, também conhecido como certificado SAN (Subject Alternative Name), permite proteger vários domínios completamente diferentes em um único certificado, como “example.com”, “example.net” e “anotherexample.org”. É muito útil para fornecer uma gestão de segurança unificada para várias marcas ou serviços pertencentes à mesma organização.

Princípio de funcionamento do protocolo SSL/TLS

O protocolo SSL/TLS fornece segurança para os protocolos de aplicação de camada superior (como o HTTP) ao criar uma camada de segurança acima da camada de transporte. O seu processo de funcionamento não se trata apenas de criptografia, mas sim de um processo de negociação detalhado, conhecido como “handshake”, que é dividido em várias fases principais.

Protocolo de Aperto de Mãos e Troca de Chaves

Quando um cliente (como um navegador) tenta se conectar a um servidor HTTPS, o processo de handshake SSL/TLS é imediatamente iniciado. Primeiramente, o cliente envia uma mensagem “ClientHello” para o servidor, contendo a versão de TLS que suporta, a lista de conjuntos de chaves (cryptographic suites) que são compatíveis com sua versão de TLS, bem como um número aleatório.

Leitura recomendada Análise Abrangente dos Certificados SSL: Funcionamento, Escolha de Tipos e Guia de Instalação e Implantação

O servidor responde com a mensagem “ServerHello”, seleciona a versão de TLS e o conjunto de protocolos de criptografia (cryptographic suites) compatíveis com ambas as partes, e envia o seu próprio número aleatório. Em seguida, o servidor envia o seu certificado SSL (que contém a chave pública) para o cliente. Se o servidor exigir a autenticação do cliente (o que é menos comum), também solicitará o certificado do cliente nessa fase.

Em seguida, entra-se na etapa crucial da troca de chaves. O cliente verifica a validade do certificado do servidor (se foi emitido por uma autoridade de certificação (CA) confiável, se o nome de domínio corresponde e se o certificado ainda está válido). Após a verificação, o cliente gera uma chave-prima preliminar e a encripta usando a chave pública contida no certificado do servidor, enviando-a para o servidor. O servidor, por sua vez, utiliza a sua chave privada para descriptografar essa chave-prima preliminar e obtém assim a chave-prima real. Nesse ponto, tanto o cliente quanto o servidor possuem os mesmos dois números aleatórios (Client Random e Server Random), além da chave-prima. Eles utilizarão o mesmo algoritmo para gerar a chave de sessão simétrica utilizada nas comunicações subsequentes. O uso da criptografia assimétrica para transmitir a chave simétrica combina a segurança da criptografia assimétrica com a eficiência da criptografia simétrica.

Protocolo de Comunicação e Registo Encriptado

Após a conclusão do aperto de mão, as duas partes entram na fase de comunicação encriptada. O cliente envia a mensagem “ChangeCipherSpec” para informar ao servidor que as mensagens subsequentes serão encriptadas usando a chave de sessão e o conjunto de criptografia acordados. Em seguida, envia a mensagem “Finished”, que contém um resumo de todas as mensagens trocadas durante o processo de handshake, para que o servidor possa verificar se o processo foi adulterado.

O servidor também envia a mensagem “ChangeCipherSpec” e a sua mensagem “Finished”. Após ambas as partes verificarem que a mensagem “Finished” está correta, o processo de handshake é oficialmente concluído.

Posteriormente, os dados da camada de aplicação (como solicitações e respostas HTTP) são processados pelo protocolo de registro TLS. O protocolo de registro divide os dados em fragmentos gerenciáveis, comprime-os (o que é atualmente raro), calcula um código de autenticação da mensagem para garantir a integridade dos dados e, em seguida, encripta-os utilizando uma chave de sessão simétrica antes de transmiti-los para o destinatário. Ao receber os dados, o destinatário executa os processos de desencriptação, verificação e descompressão, reorganizando-os para recuperar os dados originais, que são então passados para a aplicação de camada superior.

Como obter e instalar um certificado SSL para configuração?

A implementação de um certificado SSL num website é um processo sistemático que requer vários passos, desde a geração de um par de chaves até à configuração final no servidor.

Processo de solicitação e emissão de certificados

O primeiro passo é gerar uma chave privada e um pedido de assinatura do certificado no seu servidor. A chave privada é um arquivo que deve ser mantido em total sigilo. O CSR (Certificate Signing Request) contém a sua chave pública, bem como o domínio para o qual você deseja solicitar o certificado e informações sobre a sua organização. É possível gerar esses arquivos facilmente utilizando ferramentas como o OpenSSL.

O segundo passo é enviar o arquivo CSR (Certificate Signing Request) para a autoridade de certificação selecionada e concluir o processo de verificação correspondente de acordo com o tipo de certificado que você solicitou. Para certificados DV, isso geralmente envolve verificação por e-mail ou DNS; para certificados OV/EV, a autoridade de certificação (CA) inicia um processo de revisão manual.

Após a verificação ser aprovada, a autoridade de certificação (CA) emitirá o arquivo do certificado SSL (geralmente no formato .crt ou .pem), bem como possíveis arquivos da cadeia de certificados intermediários. Você precisará baixar esses arquivos para o servidor.

Instalar e configurar no servidor web

O processo de instalação varia de acordo com o software do servidor. A seguir, são fornecidos exemplos para os servidores comuns Nginx e Apache.

Para o servidor Nginx, você precisa carregar o arquivo de certificado baixado e o arquivo de chave privada para um diretório específico do servidor (por exemplo,/etc/nginx/ssl/Em seguida, edite o arquivo de configuração do site para que ele escute na porta 443.serverNo bloco, especifique os caminhos para o certificado e a chave privada:

server {
    listen 443 ssl;
    server_name yourdomain.com;
    ssl_certificate /etc/nginx/ssl/yourdomain.crt;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.key;
    # 其他配置...
}

Ao mesmo tempo, você precisa configurar a fusão da cadeia de certificados intermediários no arquivo de certificado, ou através de…ssl_trusted_certificateAs instruções devem ser especificadas individualmente.

Para o servidor Apache, o processo é semelhante. Você precisa ativá-lo (ou habilitá-lo).ssl_moduleEm seguida, na configuração do hospedeiro virtual (geralmente em…)<VirtualHost *:443>(Parágrafo) UtilizeSSLCertificateFileA instrução aponta para o ficheiro de certificado, utilizandoSSLCertificateKeyFileAponte para o arquivo da chave privada e use-o.SSLCertificateChainFileAponta para o arquivo da cadeia de certificados intermediária.

Após a configuração, reinicie o servidor web para que as alterações entrem em vigor. Em seguida, use uma ferramenta de verificação SSL online (como o SSL Test da SSL Labs) para testar se o certificado foi instalado corretamente e se a configuração é segura.

Renovação de certificados e gerenciamento automatizado

Os certificados SSL têm uma validade definida (atualmente, o máximo é de 13 meses). Após a expiração, o navegador exibe um aviso de grave alerta. Portanto, a renovação do certificado é de extrema importância.

As melhores práticas modernas consistem em utilizar ferramentas automatizadas para a gestão de certificados, como o Certbot, que suporta ACs que fornecem certificados DV gratuitos, como a Let's Encrypt. O Certbot pode automatizar todo o processo de solicitação, validação e instalação de certificados, bem como a reconfiguração do servidor web e a renovação automática quando o certificado expirar. Através da configuração de tarefas agendadas, é possível gerir automaticamente todo o ciclo de vida do certificado, eliminando completamente o risco de interrupção do serviço devido à expiração do certificado.

resumos

Os certificados SSL são a pedra angular para a construção de uma internet segura e confiável. Eles protegem a privacidade e a integridade dos dados durante a transmissão através de tecnologias de criptografia avançadas e ajudam os usuários a identificar a autenticidade dos websites por meio de mecanismos de autenticação rigorosos. Desde os certificados de verificação de domínio básicos até os certificados de verificação estendida que oferecem o nível mais alto de confiança, passando por certificados com caracteres curingas e para múltiplos domínios, a diversidade de tipos disponíveis atende às necessidades de diferentes cenários de aplicação. Compreender o funcionamento do processo de handshake SSL/TLS e da comunicação encriptada nos ajuda a entender mais profundamente os mecanismos de segurança desses certificados. Além disso, dominar todo o processo, desde a solicitação e verificação até a instalação e configuração no servidor, bem como implementar um sistema de renovação automática, é uma habilidade essencial para todos os profissionais de manutenção de websites e desenvolvedores. A implementação correta de certificados SSL não é apenas um passo técnico necessário, mas também um compromisso sério com a segurança e a confiança dos usuários.

Perguntas frequentes Perguntas frequentes

Qual é a diferença entre um certificado SSL e um certificado TLS?

SSL e TLS são diferentes versões do mesmo protocolo de segurança. O SSL foi um protocolo de segurança desenvolvido inicialmente pela empresa Netscape (SSL 1.0, 2.0, 3.0). Como vulnerabilidades de segurança foram encontradas no SSL 3.0, seu sucessor, o TLS, foi estabelecido como o padrão. As versões TLS 1.0, 1.1, 1.2 e 1.3 foram lançadas sequencialmente, com o aumento contínuo da segurança. Atualmente, o SSL 3.0 e todas as versões antigas foram completamente descontinuadas, e o protocolo TLS é amplamente utilizado na internet moderna. No entanto, devido a uma questão de convenção histórica, o termo “certificado SSL” continua sendo usado para se referir aos certificados digitais utilizados para implementar os protocolos SSL/TLS; na verdade, esses certificados são, tecnicamente, certificados TLS.

Qual é a diferença entre um certificado SSL gratuito e um pago?

Os certificados gratuitos (como os emitidos pelo Let's Encrypt) são geralmente certificados de validação de domínio, que fornecem a mesma força de encriptação que os certificados DV pagos. A principal diferença reside nos níveis de serviço e suporte. Os certificados pagos oferecem uma garantia de compatibilidade mais ampla (especialmente com dispositivos mais antigos), cobertura de seguro comercial (por exemplo, compensação por perdas causadas por problemas com certificados), suporte técnico mais profissional ao cliente e uma seleção mais flexível de tipos de certificados (como OV, EV, certificados wildcard, etc.). As informações de validação dos certificados pagos também são geralmente mais fáceis de serem confiadas por alguns firewalls empresariais ou sistemas internos. Para a maioria dos sites pessoais e projetos de pequena e média dimensão, os certificados DV gratuitos são completamente suficientes e recomendados.

Depois de instalar o certificado SSL, o site ficará absolutamente seguro?

Não é bem assim. O certificado SSL garante principalmente a segurança durante o processo de transmissão de dados, ou seja, a criptografia dos dados em movimento. Ele não protege a segurança do próprio servidor da web (como impedir a invasão de hackers), não previne vulnerabilidades no nível das aplicações da web (como injeções SQL ou ataques de scripts cross-site), nem assegura a segurança dos dados “estáticos” armazenados no servidor. Um site seguro requer medidas de segurança em várias camadas, incluindo o uso de senhas fortes, atualizações regulares do servidor e das aplicações, a implementação de firewalls e a utilização de técnicas de codificação segura. O SSL/TLS é um componente essencial para uma estratégia de segurança abrangente, mas não representa a totalidade das medidas necessárias.

Por que, às vezes, os navegadores indicam que o certificado SSL não é seguro ou inválido?

As mensagens de alerta no navegador indicando que o certificado não é seguro geralmente são causadas por uma das seguintes razões: Primeiro, o certificado expirou; segundo, o domínio para o qual o certificado foi emitido não corresponde ao domínio da página que está sendo acessada; terceiro, a autoridade emissora do certificado não está incluída na lista de certificados-raiz confiáveis do sistema operacional ou do navegador (esse é um problema comum com certificados autoassinados); quarto, a configuração SSL/TLS do servidor não é segura, por exemplo, por estar utilizando versões obsoletas e inseguras do protocolo (como SSL 2.0/3.0) ou conjuntos de criptografia fracos; quinto, ao acessar alguns sites internos, pode ser utilizado um certificado emitido por uma autoridade de certificação interna da empresa, e o certificado-raiz dessa autoridade não foi importado para o seu dispositivo. É necessário tratar esses alertas com cuidado, especialmente quando operações sensíveis estiverem envolvidas.