O que é um certificado SSL? Um guia completo, desde o princípio até a instalação.

Leitura de 2 minutos
2026-03-18
2,729
Eu recebo uma comissão quando você faz compras através dos links abaixo, sem custo adicional para você.

Na internet de hoje, quando você vê um pequeno cadeado verde na barra de endereços do navegador, isso significa que o site está utilizando um certificado SSL. Trata-se de um certificado digital cuja principal função é estabelecer uma conexão encriptada e segura entre o navegador do usuário e o servidor do site. Com a criptografia, todos os dados transmitidos entre os dois (como senhas, números de cartões de crédito e informações pessoais) são protegidos, impedindo que sejam roubados ou alterados por terceiros.

O núcleo de um certificado SSL é o protocolo SSL/TLS, que combina técnicas de criptografia assimétrica e simétrica. Quando um usuário acessa um site que utiliza o protocolo HTTPS, o servidor exibe seu certificado SSL. O navegador verifica a autenticidade e a validade desse certificado; após a verificação, as duas partes negociam a geração de uma “chave de sessão” temporária. Todos os dados transmitidos posteriormente são criptografados e descriptografados utilizando essa chave simétrica rápida, garantindo assim a segurança sem comprometer a eficiência.

Princípios fundamentais e composição técnica dos certificados SSL

Para entender um certificado SSL, é necessário começar com o sistema de infraestrutura de chaves públicas (PKI – Public Key Infrastructure) que está por trás dele. Não se trata de um simples arquivo, mas de um conjunto de componentes técnicos que trabalham em conjunto de forma coordenada.

Leitura recomendada O que é um certificado SSL? Como escolher, instalar e verificar a sua validade?

Criptografia Assimétrica e Pares de Chaves

A criptografia assimétrica é a pedra angular das conexões seguras SSL. Ela utiliza um par de chaves matematicamente relacionadas: uma chave pública e uma chave privada. A chave pública pode ser divulgada publicamente para o encodificação de dados, enquanto a chave privada é mantida em segredo pelo proprietário do certificado, sendo utilizada para a decodificação dos dados que foram criptografados com a chave pública correspondente. Durante o processo de handshake SSL, o cliente utiliza a chave pública do servidor (contida no certificado) para criptografar as informações. Apenas o servidor que possui a chave privada correspondente consegue decodificar essas informações, garantindo assim a segurança da comunicação inicial.

Certificado SSL da Bluehost
Certificado SSL da Bluehost
Os certificados SSL da BlueHost oferecem opções de extensão de 1 a 2 anos, suporte para algoritmos RSA ou ECC, comprimentos de chave de até 4.096 bits e proteção de até US$ 1,75 milhão.
A partir de $7,49 USD por mês
Acesso aos Certificados SSL da Bluehost →
Certificado SSL da hosting.com
Certificado SSL da hosting.com
Certificados SSL DV, OV e EV acessíveis, criptografia de até 256 bits, valor de proteção de 5 a 1 milhão de dólares, suporte 24 horas por dia, 7 dias por semana
A partir de $2,5 USD por mês
Visite hosting.com Certificados SSL →

Assinatura digital e cadeia de certificados

Assinaturas digitais são utilizadas para garantir a integridade de um certificado e a autenticidade de sua origem. Ao emitir um certificado, a autoridade emissora (CA – Certificate Authority) gera uma assinatura digital no conteúdo do mesmo utilizando sua chave privada. Qualquer pessoa pode usar a chave pública da CA para verificar essa assinatura; se a verificação for bem-sucedida, isso prova que o conteúdo do certificado não foi alterado desde a sua emissão e que, de fato, foi emitido pela respectiva CA.

A cadeia de certificados cria um sistema de confiança. O certificado do seu site é emitido por uma CA (Certification Authority) intermediária, e o certificado dessa CA intermediária é, por sua vez, emitido por uma CA raiz. Navegadores e dispositivos possuem uma lista pré-definida de certificados de CA raiz confiáveis. Ao verificar os selos (assinaturas) passo a passo, o navegador consegue rastrear a cadeia de confiança até a CA raiz que ele considera confiável, e, assim, confia no certificado do seu site.

Protocolo de Aperto de Mãos e Pacotes de Criptografia

O processo de handshake do SSL/TLS é uma interação protocolar complexa, mas rápida. Ele inclui etapas como o “cumprimento”, a troca de parâmetros de criptografia, a verificação de certificados e a geração de chaves compartilhadas. Os conjuntos de criptografia (cryptographic suites) definem a combinação de algoritmos específicos utilizados durante o handshake e a comunicação, tais como algoritmos de troca de chaves, algoritmos de criptografia em massa e algoritmos de autenticação de mensagens. As melhores práticas atuais eliminaram os algoritmos inseguros, forçando o uso do TLS 1.2 ou versões mais recentes, e recomendam o uso de conjuntos de criptografia que garantam a confidencialidade dos dados (forward secrecy).

Os principais tipos de certificados SSL e a sua seleção

De acordo com o nível de verificação e as necessidades funcionais, os certificados SSL são divididos principalmente em as seguintes categorias. Escolher o tipo adequado é de extrema importância tanto para a segurança quanto para o controle de custos.

Leitura recomendada Guia definitivo de certificados SSL: desde os princípios e tipos até a aplicação e instalação, tudo explicado.

Certificado de validação de domínio

O certificado DV é o tipo de certificado com o nível de verificação mais baixo e o processo de emissão mais rápido. O autoridade de certificação (CA) verifica apenas o controle do solicitante sobre o domínio, geralmente através da adição de registros no DNS ou da recepção de e-mails para um endereço de e-mail especificado. É adequado para sites pessoais, blogs ou ambientes de teste, oferecendo funcionalidades básicas de criptografia. No entanto, a barra de endereços do navegador exibe apenas um símbolo de cadeado, sem mostrar o nome da empresa.

Certificado de tipo de validação da organização

Os certificados OV exigem uma verificação rigorosa da identidade da organização. A autoridade certificadora (CA) verifica a existência real da empresa, incluindo informações como o alvará de negócios, o endereço da organização e o telefone. Por isso, o processo de emissão leva vários dias úteis. O nome da empresa, após a verificação, é incluído no certificado, e os usuários podem consultá-lo nas informações do certificado, o que aumenta a confiança deles no site. Esses certificados são adequados para sites oficiais de empresas e plataformas comerciais.

Certificado de validação estendida

Os certificados EV (Extended Validation) oferecem o nível mais alto de verificação e o símbolo de confiança mais evidente. Além de passarem por uma revisão rigorosa do nível OV (Organizational Validation), é necessário também fornecer documentos legais e seguir um processo de verificação mais rigoroso. Os navegadores dão destaque especial aos certificados EV; na maioria dos casos, o nome da empresa é exibido em verde diretamente na barra de endereços. Sites que exigem um alto nível de confiança, como os financeiros e os de comércio eletrônico, costumam optar por certificados EV.

Certificado SSL da UltaHost
Certificados DV, EV, OV, cobertura de até $1.750.000 USD, subdomínios ilimitados, aplicativos para iOS e Android, desconto de 20% por mês, $15,95 USD em diante, garantia de reembolso de 30 dias!

Certificados multi-domínio e curinga

Um certificado com vários domínios permite proteger vários domínios completamente diferentes em um único certificado. Já um certificado com caracteres curinga (wildcard) pode proteger um domínio principal e todos os seus subdomínios do mesmo nível. *.example.com Pode proteger blog.example.com e shop.example.comMas não pode proteger. a.b.example.comEsses dois tipos de certificados oferecem conveniência e vantagens econômicas para empresas que gerenciam vários domínios.

Como solicitar e instalar um certificado SSL?

O processo de obtenção e implantação de certificados SSL pode ser resumido em várias etapas: geração do pedido, envio para verificação, download e instalação, bem como configuração e atualizações.

Gerar uma solicitação de assinatura de certificado

Primeiramente, você precisa gerar um arquivo CSR (Certificate Signing Request) no seu servidor web. Esse processo também criará um par de chaves: uma chave privada e uma chave pública correspondente. O arquivo CSR contém o seu domínio, as informações da sua empresa e a chave pública. É de extrema importância que a chave privada gerada seja armazenada de forma segura no servidor, sem que seja revelada. A perda ou a divulgação da chave privada pode levar a um desastre de segurança.

Leitura recomendada Análise abrangente dos certificados SSL: desde o seu funcionamento até orientações para a sua seleção e instalação.

Submeter a verificação e obter o certificado

Envie o CSR (Certificate Signing Request) gerado para a autoridade de certificação que você escolheu e complete o processo de verificação correspondente de acordo com o tipo de certificado que você comprou. Para certificados DV (Domain Validation), a verificação do domínio e a emissão do certificado podem ser concluídas em poucos minutos; no caso de certificados OV/EV (Organizational Validation/Extended Validation), é necessário aguardar a revisão manual pela autoridade de certificação (CA – Certificate Authority). Após a aprovação, a CA enviará o arquivo oficial do certificado, que contém a chave pública do seu CSR como parte central, geralmente incluindo… .crt ou .pem Arquivos de certificados em formatos compatíveis, bem como possíveis arquivos de cadeias de certificados intermediários que sejam necessários.

Instalação e configuração do servidor

O arquivo do certificado obtido precisa ser instalado juntamente com a chave privada gerada anteriormente no software do servidor web. No caso do Nginx, você deve fazer isso no arquivo de configuração. server Especificado no bloco ssl_certificate e ssl_certificate_key O caminho para isso. Para o Apache, é necessário usar… SSLCertificateFile e SSLCertificateKeyFile As instruções devem ser seguidas para a configuração. Após a instalação, é essencial reiniciar o servidor web para que as alterações entrem em vigor.

Forçar o uso de HTTPS e atualizações subsequentes

Após a instalação do certificado, para garantir que todas as conexões sejam seguras, é necessário redirecionar as solicitações HTTP do site para HTTPS. Isso pode ser feito através de regras de configuração do servidor. Além disso, os certificados SSL geralmente têm uma validade de 398 dias e devem ser renovados antes de expirarem, com a instalação de um novo certificado. A configuração de notificações automáticas ou o uso de serviços que suportam a renovação automática pode evitar que o site fique inacessível devido à expiração do certificado.

Melhores práticas para certificados SSL e resolução de problemas comuns

A implantação correta do certificado SSL é apenas o primeiro passo; seguir as melhores práticas e dominar os métodos de diagnóstico é essencial para garantir uma segurança e estabilidade a longo prazo.

Ativar a política de segurança HSTS

A política de segurança de transmissão rigorosa do HTTP (HTTP Strict Transport Security) é um mecanismo importante para reforçar a segurança da comunicação entre o navegador e o servidor. Ela informa ao navegador, através dos cabeçalhos de resposta, que todos os acessos ao site devem ser feitos usando o protocolo HTTPS dentro de um período de tempo especificado, mesmo que o usuário tenha inserido um endereço HTTP. Isso ajuda a proteger contra ataques de intermediários, como a extração dos dados de segurança (SSL stripping). É recomendado ativar o HSTS de forma gradual, após confirmar que a configuração do HTTPS está correta.

Verificação e monitoramento periódicos

Não se deve agir somente após a expiração do certificado. É necessário verificar periodicamente a validade restante do certificado e monitorar se sua configuração está correta. Existem ferramentas online que permitem verificar de forma abrangente a segurança da configuração SSL, a integridade da cadeia de certificados, os protocolos suportados e a segurança dos conjuntos de criptografia utilizados. Assegure-se de que não estejam sendo usados algoritmos de criptografia considerados vulneráveis.

Erros Comuns e Soluções

Ao acessar um site, aparece um aviso de que o “certificado não é confiável”, geralmente porque um certificado intermediário foi omitido na configuração do servidor, impedindo que o navegador construa uma cadeia de confiança completa. A solução é combinar o certificado intermediário fornecido pela autoridade de certificação (CA) com o certificado do site e configurá-los corretamente.

“O erro ”Domínio do certificado não corresponde” indica que o domínio atualmente acessado não é o mesmo que o domínio listado no certificado. É necessário garantir que o certificado cubra todas as variantes de domínios que precisam ser acessadas.

“O certificado expirou” ou “O certificado ainda não entrou em vigor” são problemas relacionados ao tempo; nesse caso, é necessário renovar o certificado ou verificar se o horário do servidor está correto.

resumos

O certificado SSL evoluiu de uma funcionalidade avançada opcional para uma infraestrutura essencial para garantir a segurança dos websites e a confiança dos usuários. Ele utiliza princípios criptográficos complexos para estabelecer um “túnel seguro” entre o usuário e o website, protegendo a privacidade e a integridade dos dados. Os usuários podem escolher entre certificados de diferentes níveis de verificação (DV, OV, EV), bem como certificados para múltiplos domínios e com caracteres curinga, de acordo com suas necessidades. Embora o processo de solicitação e instalação envolva detalhes técnicos, existem muitos ferramentas e guias disponíveis para ajudar. O mais importante é seguir as melhores práticas, como ativar o HSTS e realizar verificações periódicas, após a implementação, a fim de construir uma proteção de segurança contínua e confiável.

Perguntas frequentes Perguntas frequentes

Eu já tenho um certificado SSL, então por que o navegador ainda mostra “Inseguro”?

Isso pode ser causado por vários motivos. O mais comum é a carga mista de recursos usando o protocolo HTTP na página da web, como imagens, scripts ou arquivos de estilo. Mesmo que a página principal seja carregada via HTTPS, se houver apenas um recurso HTTP, o navegador pode considerar a página “insegura”. Você precisa alterar todas as referências aos recursos do site para usar o protocolo HTTPS.

Além disso, pode ser que o certificado não tenha sido instalado corretamente – por exemplo, faltam certificados intermediários, ou o domínio coberto pelo certificado não corresponde ao domínio que está sendo acessado no momento.

Qual é a diferença entre um certificado SSL gratuito e um pago?

免费证书通常指Let‘s Encrypt颁发的DV证书,其加密强度与技术标准和付费DV证书相同。主要区别在于有效期、支持和附加功能。免费证书有效期较短,需要频繁自动续期;一般只有社区支持,无人工客服;且不提供商业保障。付费证书通常提供更高验证等级、更长的可选有效期、专业技术支持以及网站被黑或加密失效等风险保障。

O HTTPS afetará a velocidade de carregamento do meu site?

O impacto do HTTPS moderno na velocidade é insignificante. O processo de handshake do TLS, necessário para estabelecer uma conexão segura, adiciona um pequeno atraso no tempo de resposta, mas tecnologias como o TLS 1.3 otimizaram significativamente esse processo. Além disso, o protocolo HTTP/2 deve ser implementado sobre HTTPS e permite recursos como multiplexação e compressão de cabeçalhos, o que melhora significativamente a velocidade de carregamento das páginas. Portanto, os benefícios em termos de segurança trazidos pelo HTTPS superam em muito os custos de desempenho, que podem ser considerados desprezíveis.

Qual é a relação entre SSL/TLS e HTTPS?

SSL e TLS são protocolos utilizados para implementar comunicações encriptadas. O TLS é uma versão atualizada e aprimorada do SSL, sendo atualmente o padrão mais difundido. HTTPS é a abreviação de “HTTP over TLS/SSL”, que representa uma combinação de protocolos. Pode-se entender da seguinte forma: o HTTP é o “idioma” utilizado para transmitir o conteúdo em si, enquanto o SSL/TLS cria um ambiente seguro e privado para essa comunicação, protegendo-a contra espionagem. Quando você utiliza HTTPS, você está utilizando o protocolo HTTP, mas através de um canal encriptado fornecido pelo SSL/TLS.