O que é um certificado SSL? Um guia completo, desde o princípio até a instalação.

Leitura de 2 minutos
2026-03-10
2026-03-11
2,305
Eu recebo uma comissão quando você faz compras através dos links abaixo, sem custo adicional para você.

Na comunicação pela Internet, os dados são transmitidos em texto simples, existindo o risco de serem intercetados e alterados. Os certificados SSL, enquanto certificados digitais, resolvem este problema de segurança fundamental, estabelecendo uma ligação encriptada entre o servidor e o cliente. Estes funcionam como um “passaporte digital” e um “selo de segurança” para os websites, realizando duas tarefas fundamentais: validar a autenticidade do servidor e garantir que os dados transmitidos são altamente encriptados.

Quando um utilizador visita um website que tenha um certificado SSL instalado (que normalmente começa por `HTTPS://“), o navegador inicia um processo de ”handshake" com o servidor do website. Durante este processo, o servidor envia o certificado SSL para o navegador. O navegador verifica se a autoridade que emitiu o certificado é fiável, se o certificado está dentro do período de validade e se o nome de domínio no certificado corresponde ao domínio que está a ser visitado. Após a verificação, ambas as partes negociam uma série de chaves de sessão, que são utilizadas para encriptar todos os dados de comunicação subsequentes, estabelecendo assim um canal de transmissão seguro.

O princípio de funcionamento central dos certificados SSL.

O núcleo do protocolo SSL/TLS reside na utilização combinada de encriptação assimétrica e encriptação simétrica, com o objetivo de permitir uma transmissão de dados segura e eficiente.

Leitura recomendada O guia definitivo para certificados SSL: tipos, opções, instalação e implementação

A criptografia assimétrica cria confiança.

Os certificados SSL utilizam um sistema de criptografia assimétrica, que consiste num par de chaves: uma pública e outra privada. A chave privada é mantida em segredo pelo servidor do website e nunca é divulgada, enquanto a chave pública é colocada no certificado SSL e pode ser distribuída a qualquer pessoa. Os dados encriptados com a chave pública só podem ser desencriptados com a chave privada correspondente. Na fase inicial do handshake SSL, o cliente (navegador) utiliza a chave pública do certificado para encriptar uma “chave pré-mestre”, que é utilizada para gerar a chave subsequente, e envia-a para o servidor. Apenas o servidor que possui a chave privada correta consegue desencriptar esta informação, o que prova a identidade do servidor.

Certificado SSL da Bluehost
Certificado SSL da Bluehost
Os certificados SSL da BlueHost oferecem opções de extensão de 1 a 2 anos, suporte para algoritmos RSA ou ECC, comprimentos de chave de até 4.096 bits e proteção de até US$ 1,75 milhão.
A partir de $7,49 USD por mês
Acesso aos Certificados SSL da Bluehost →
Certificado SSL da hosting.com
Certificado SSL da hosting.com
Certificados SSL DV, OV e EV acessíveis, criptografia de até 256 bits, valor de proteção de 5 a 1 milhão de dólares, suporte 24 horas por dia, 7 dias por semana
A partir de $2,5 USD por mês
Visite hosting.com Certificados SSL →

A encriptação simétrica protege os dados.

Apesar da criptografia assimétrica ser segura, é computacionalmente exigente e lenta, pelo que não é adequada para encriptar todos os dados transmitidos. Por conseguinte, após a validação da identidade através da criptografia assimétrica e a troca segura da “chave pré-mestre”, o cliente e o servidor utilizam esta chave para gerar uma “chave de sessão” idêntica. Todas as comunicações subsequentes serão encriptadas e desencriptadas utilizando esta chave de sessão. Os algoritmos de criptografia simétrica são eficientes e permitem a transferência de grandes quantidades de dados encriptados a alta velocidade.

A assinatura digital garante a integridade.

Além da encriptação, os certificados SSL também utilizam a tecnologia de assinatura digital para garantir a integridade dos dados. Quando a Autoridade Certificadora (CA) emite um certificado, utiliza a sua chave privada para encriptar as informações do certificado (incluindo o nome de domínio, chave pública, informações da organização, etc.), gerando um resumo das informações, ou seja, uma assinatura digital. Os navegadores têm incorporada a chave pública das CA confiáveis, permitindo validar a assinatura. Qualquer alteração do conteúdo do certificado resultará na falha da validação da assinatura, e o navegador emitirá um aviso de segurança.

Os principais tipos de certificados SSL e a sua seleção

De acordo com o nível de validação e as necessidades funcionais, os certificados SSL são divididos nas seguintes categorias, de forma a atender às necessidades de segurança de diferentes cenários.

Certificado de validação de domínio

O certificado DV é o certificado com o nível de verificação mais baixo e o processo de emissão mais rápido. A AC apenas verifica a propriedade do domínio do requerente (por exemplo, através de e-mail ou resolução de DNS). Ele fornece funcionalidade básica de criptografia, mas não exibe o nome da empresa no certificado. Geralmente, é adequado para sites pessoais, blogs ou ambientes de teste.

Leitura recomendada O que é um certificado SSL? Um guia completo do princípio à aplicação

Certificado de tipo de validação da organização

O certificado OV proporciona uma maior credibilidade do que o certificado DV. A AC não só verifica a propriedade do domínio, como também verifica a autenticidade e a legalidade da empresa requerente (por exemplo, a licença comercial da empresa). Os detalhes do certificado incluem o nome da empresa verificado. É adequado para sites oficiais de empresas e sistemas comerciais, pois permite demonstrar uma identidade mais credível aos utilizadores.

Certificado de validação estendida

Os certificados EV são, atualmente, os certificados SSL com a validação mais rigorosa e o nível de segurança mais elevado. A AC executa um processo de verificação rigoroso, que inclui a auditoria de entidades jurídicas e físicas. Quando um website implementa um certificado EV, os principais navegadores apresentam o nome da empresa em verde na barra de endereço, o que aumenta significativamente a confiança do utilizador. Estes certificados são normalmente utilizados em websites com requisitos de segurança muito elevados, como bancos, plataformas financeiras e de comércio eletrónico.

Leitura recomendada Análise completa dos certificados SSL: um guia de compra e implementação autoritário, do nível iniciante ao avançado.

Certificado SSL da UltaHost
Certificados DV, EV, OV, cobertura de até $1.750.000 USD, subdomínios ilimitados, aplicativos para iOS e Android, desconto de 20% por mês, $15,95 USD em diante, garantia de reembolso de 30 dias!

Além disso, com base no número de domínios protegidos, os certificados SSL também podem ser divididos em: certificados de domínio único (protegem um domínio específico), certificados de vários domínios (protegem vários domínios diferentes com um único certificado) e certificados com carácter genérico (protegem um domínio principal e todos os seus subdomínios de nível superior, como `*.yourdomain.com`). Os utilizadores devem escolher de acordo com o número, o tipo e as necessidades de segurança do seu website.

Como solicitar e implantar um certificado SSL

A implantação de um certificado SSL requer uma série de passos claros desde a solicitação até a sua entrada em vigor.

Primeiro passo: gerar uma solicitação de assinatura de certificado.

O primeiro passo para solicitar um certificado é gerar uma chave privada e um ficheiro de pedido de assinatura de certificado no servidor do seu website. Isso é normalmente feito em segundo plano no servidor, através de ferramentas de linha de comandos. O ficheiro CSR contém o seu nome de domínio, informações da organização e a chave pública gerada pela chave privada. Certifique-se de guardar o ficheiro da chave privada de forma segura, pois é fundamental para a segurança do seu certificado.

Passo 2: Submeter a candidatura à CA e validá-la.

Submeta o ficheiro CSR gerado à autoridade de certificação (CA) ou ao seu agente. De acordo com o tipo de certificado que solicitou (DV, OV, EV), a CA iniciará o processo de validação correspondente. Para certificados DV, a validação é normalmente concluída em alguns minutos; para OV e EV, é necessário um período de tempo mais longo para a revisão manual. Após a validação, a CA enviar-lhe-á o ficheiro do certificado SSL emitido.

Passo 3: Instalar o certificado no servidor

Depois de receber o ficheiro do certificado, este deve ser instalado no servidor do website, juntamente com o ficheiro da chave privada gerado anteriormente. O processo de instalação varia de acordo com o software do servidor. Por exemplo, no Nginx, é necessário editar o ficheiro de configuração e especificar os caminhos do certificado e da chave privada; no Apache, é necessário alterar a configuração do host virtual. Após a instalação, é necessário reiniciar o software do servidor para que a nova configuração entre em vigor.

Quarto passo: configurar o redirecionamento obrigatório para HTTPS.

Para garantir que todas as visitas sejam feitas através de uma ligação segura, é melhor redirecionar automaticamente todos os pedidos HTTP para HTTPS. Isto pode ser feito adicionando regras de reescrita na configuração do servidor. Ao mesmo tempo, deve verificar se todos os recursos do site (como imagens, scripts, folhas de estilo) estão a utilizar ligações HTTPS, evitando assim avisos de “conteúdo misto”.

5.º passo: Teste e monitorização

Após a instalação, utilize o navegador para aceder ao seu website HTTPS e confirme que o ícone de cadeado de segurança é apresentado na barra de endereço. Pode também utilizar ferramentas de deteção de SSL online para efetuar uma verificação completa, incluindo a integridade da cadeia de certificados, os protocolos suportados e os conjuntos de encriptação, entre outros. Lembre-se de definir um lembrete no calendário para renovar ou substituir o certificado antes da sua expiração, de forma a evitar interrupções no serviço.

Configuração avançada e melhores práticas

A instalação correta do certificado é apenas o primeiro passo; uma configuração adequada é necessária para maximizar o seu papel de proteção de segurança.

Proibir protocolos e conjuntos de criptografia não seguros.

Existem vulnerabilidades conhecidas no protocolo SSL antigo e em algoritmos de criptografia fracos, que devem ser desativados. A melhor prática atual é desativar o SSL 2.0/3.0 e recomendar prioritariamente os protocolos TLS 1.2 e TLS 1.3. Ao mesmo tempo, os servidores devem ser configurados para suportar apenas conjuntos de criptografia fortes e desativar algoritmos inseguros, como RC4 e DES.

Ativar a segurança de transferência estrita de HTTP

HSTS é um mecanismo importante de estratégia de segurança. Ao definir `Strict-Transport-Security` no cabeçalho de resposta do site, é possível informar ao navegador que, durante um período de tempo futuro (por exemplo, um ano), este site só poderá ser acessado via HTTPS. Isso evita eficazmente os ataques de stripping SSL, pois, mesmo que o utilizador introduza manualmente `http://` ou clique num link não seguro, o navegador irá forçar a mudança para um pedido HTTPS.

Implantar a tecnologia de encadernação OCSP

Durante a verificação tradicional de revogação de certificado, o navegador precisa de uma ligação à Internet para verificar o estado do certificado, o que aumenta o atraso e o risco de exposição de privacidade. A ligação OCSP permite que o servidor, durante o aperto de mão TLS, obtenha antecipadamente a prova de validade do certificado e a “anexe” à resposta, enviando-a ao navegador, evitando assim consultas adicionais do cliente e aumentando a velocidade e a privacidade.

Atualizações regulares e gestão automatizada.

Os certificados SSL têm normalmente uma validade de 1-2 anos. A gestão manual pode levar a que o certificado expire e o site fique inacessível devido a esquecimento. Recomenda-se iniciar o processo de renovação, pelo menos, um mês antes da data de validade do certificado. Para sites de pequena e média dimensão, pode considerar utilizar serviços de emissão de certificados gratuitos e automatizados, como o Let's Encrypt, que fornece certificados DV gratuitos com uma validade de 90 dias e permite a renovação automática através de ferramentas de script, reduzindo significativamente os custos de gestão.

resumos

Os certificados SSL são a pedra angular da segurança moderna na Internet. Através de sistemas de criptografia assimétrica e simétrica sofisticados, combinados com tecnologia de assinatura digital, estes certificados fornecem autenticação de identidade, encriptação de dados e proteção de integridade para as comunicações dos websites. Desde certificados DV, OV e EV com diferentes níveis de validação, até certificados de domínio único, multidomínio ou com selo, compreender a sua classificação é um pré-requisito para uma seleção correta. O processo de solicitação e implementação inclui a geração de CSR, a validação pela CA, a instalação e configuração do servidor para redirecionamento obrigatório, sendo cada passo crucial. Seguir as melhores práticas, como desativar protocolos não seguros, ativar HSTS e OCSP Stapling, e utilizar ferramentas automatizadas para gerir o ciclo de vida dos certificados, é a garantia de um ambiente seguro e robusto a longo prazo.

Perguntas frequentes Perguntas frequentes

Qual é a diferença entre um certificado SSL gratuito e um pago?

Os certificados SSL gratuitos (como os emitidos pela Let's Encrypt) são normalmente certificados de validação de domínio, que oferecem a mesma força de criptografia que os certificados DV pagos. A principal diferença reside no suporte ao serviço, na cobertura de seguro e nas funcionalidades avançadas. Os certificados pagos geralmente incluem suporte técnico, uma garantia de seguro de um determinado valor e certificados de alta confiança, como OV e EV, que exigem validação manual, algo que os serviços gratuitos não oferecem.

Tendo instalado o certificado SSL, por que o navegador ainda indica que não é seguro?

Isso pode ser causado por “conteúdo misto”. Embora o documento principal da página seja carregado via HTTPS, alguns recursos referenciados na página (como imagens, JavaScript e arquivos CSS) ainda são carregados através do protocolo HTTP não seguro. Por motivos de segurança, o navegador irá marcar toda a página como não segura. Você precisa verificar e garantir que todos os links de recursos na página comecem com `HTTPS://`.

O que acontece quando meu certificado SSL expira?

Depois de o certificado expirar, o navegador apresenta uma página de aviso grave ao aceder ao site, indicando que a ligação não é segura. A grande maioria dos utilizadores optará por interromper o acesso, o que resultará na impossibilidade de utilizar o site normalmente. Os motores de busca também penalizam os sites com HTTPS inválido. A interrupção do negócio e a perda de reputação são os dois principais riscos da expiração do certificado, pelo que é necessário implementar um mecanismo de alerta e renovar o certificado com antecedência.

Os certificados com carateres universais podem proteger qualquer subdomínio?

Os certificados com carácteres universais apenas protegem todos os subdomínios do mesmo nível. Por exemplo, um certificado com carácteres universais para *.example.com pode proteger blog.example.com e shop.example.com, mas não sub.www.example.com ou example.org. Se precisar de proteger vários subdomínios ou vários domínios principais completamente diferentes, deve considerar a compra de um certificado com carácteres universais para vários domínios ou a utilização combinada de vários certificados.