Register.Domains Register.Domains
Carrinho

Ver Domínios

Finalizar Compra

Seu carrinho está vazio

Entre em Contato

Para assistência por e-mail, basta entrar em contato — fale conosco

Serviços
Nomes de Domínio
Email e Hospedagem
Nomes de Domínio
Email e Hospedagem

Certificados SSL: por que seu site precisa de um

Escrito por Sarah Johnson ·

Certificados SSL: por que seu site precisa de um

🔍 Resumo:

Em resumo: todo site precisa de um certificado SSL, não importa o tamanho ou se você recebe pagamentos. O SSL criptografa a conexão entre o navegador do seu visitante e o seu servidor web, evita avisos de "Não seguro" no navegador, ajuda a melhorar o ranking nos buscadores e é praticamente obrigatório para recursos modernos do navegador. Em geral, você pode conseguir certificados SSL grátis com seu provedor de domínio ou serviços de hospedagem.

📋 Índice

1. O que é um certificado SSL para um site?

Você pode já ter visto o ícone de cadeado no navegador com um aviso como "Não seguro" ou "Sua conexão não é privada", que pede uma verificação extra antes de entrar em um site. E é bem provável que você fique com menos vontade de passar por esse passo a mais.

Então você começa a se perguntar: "Eu preciso de um certificado SSL no meu site?" Se você está fazendo essa pergunta, já está no caminho certo para deixar seu site mais seguro e mais prático para os visitantes.

Um certificado SSL é um pequeno arquivo digital instalado em um servidor web que confirma a identidade do seu site e permite uma conexão criptografada. Quando um visitante entra no seu site, o navegador dele verifica o certificado antes de qualquer dado ser enviado. Se o certificado for válido, todo o tráfego entre o navegador e o servidor fica protegido contra interceptação.

Se você está se perguntando "O que significa SSL?", a sigla SSL quer dizer "Secure Sockets Layer". É um protocolo da internet criado nos anos 1990 para proteger a comunicação. A tecnologia que a maioria dos sites usa hoje, na prática, é a sucessora, a TLS (Transport Layer Security), que é mais rápida e muito mais segura. Mesmo com o mundo tendo passado do SSL para usar só TLS, os dois nomes ainda são usados como se fossem a mesma coisa no setor (geralmente como SSL/TLS).

2. Como funciona um certificado SSL?

Todo certificado SSL/TLS usa um par de chaves criptográficas – uma chave pública e uma chave privada. A chave pública fica dentro do certificado e é compartilhada abertamente. A chave privada fica no seu servidor web e nunca é exposta.

Quando um navegador se conecta ao seu site, ele passa por um processo chamado handshake TLS, que acontece em milissegundos, com a troca de pequenos pacotes. Aqui está como funciona:

  1. O navegador pede uma conexão segura e informa quais métodos de criptografia ele suporta.
  2. Seu servidor responde com o certificado SSL (com a chave pública) e o método de criptografia escolhido.
  3. O navegador verifica se o certificado foi emitido por uma Autoridade Certificadora (CA) confiável.
  4. Os dois lados usam a chave pública para combinar uma chave de sessão única.
  5. Depois disso, todos os dados – como dados de formulários, credenciais de login e detalhes de pagamento – trafegam criptografados com essa chave de sessão.
  6. Com o padrão (mais recente) TLS 1.3, servidor e cliente também podem compartilhar uma chave de sessão para evitar idas e vindas após a criação da chave inicial.

Assim, cada certificado SSL traz um conjunto padrão de campos que o navegador lê durante esse processo:

  • Nome comum (CN): O domínio para o qual o certificado foi emitido (ex.: example.com).
  • Nomes alternativos do assunto (SAN): Outros domínios ou subdomínios que o certificado cobre no mesmo registro.
  • Emissor: A Autoridade Certificadora que validou e assinou o certificado.
  • Período de validade: O intervalo de datas em que o certificado é considerado confiável, geralmente de um ano.
  • Chave pública: A chave criptográfica compartilhada publicamente e usada para iniciar a sessão criptografada.

Os dados então são embaralhados usando o método de criptografia e a chave pública informados. Quando chegam ao destino, eles são desembaralhados com a chave de sessão. Mesmo que alguém intercepte o tráfego, verá apenas dados embaralhados, praticamente impossíveis de decodificar sem a chave privada.

3. Por que todo site precisa de um certificado SSL hoje

Cada byte de dados que seus visitantes enviam para o seu site viaja basicamente como texto simples. O SSL embaralha esse texto, garantindo que ele fique criptografado do cliente para o servidor e do servidor para o cliente. Embora qualquer pessoa na mesma rede (por exemplo, o Wi-Fi de um café) possa tecnicamente ler as informações com várias ferramentas, só quem tiver a chave privada envolvida vai conseguir desembaralhar.

Além disso, todos os navegadores mostram um aviso de "Não seguro" na barra de endereço para qualquer página HTTP que tenha um formulário. Por exemplo, os indicadores de segurança do Chrome sinalizam ativamente sites sem HTTPS para os usuários. Esse aviso muitas vezes já é motivo suficiente para a pessoa sair do site.

Um certificado válido também prova que seu nome de domínio é realmente controlado por quem o solicitou. Isso dificulta muito que atacantes se passem pelo seu site, porque eles não conseguem obter um certificado para um domínio que não controlam.

Quando o SSL é obrigatório

Se o seu site coleta dados de cartão de crédito, normalmente ele precisa seguir as regras do PCI-DSS. Com isso, a criptografia de ponta a ponta vira uma obrigação legal. Embora o SSL não seja tecnicamente obrigatório, ele é o mínimo para criptografar dados do usuário, então costuma ser a primeira coisa que sites pequenos adicionam.

O mesmo vale para qualquer site que lide com informações de saúde protegidas (HIPAA) ou opere sob o GDPR na União Europeia. Até sites sem pagamento, mas que têm formulários de login ou contato, expõem dados do usuário se forem servidos por HTTP.

Além disso, se você pretende usar APIs avançadas que rastreiam a localização do usuário ou quer oferecer notificações push, esses serviços muitas vezes exigem um certificado SSL para funcionar.

4. Motivos de SEO e de negócios para usar HTTPS

O Google confirmou o HTTPS como um sinal de ranqueamento em 2014, ou seja, sites que usam um certificado SSL (que é a base de uma conexão HTTPS) podem ser priorizados nos resultados de busca. Junto com usar uma boa extensão de domínio para e-commerce ou sites de negócios, é uma das poucas formas em que a URL pode influenciar o posicionamento.

Mas, além do ranking em si, confiança gera conversões. No momento em que um possível visitante vê um aviso enorme dizendo que o site pode não ser seguro porque não tem certificado SSL ou não usa HTTPS, a chance de ele sair é bem maior. O pequeno ícone de cadeado ficou tão comum que não vê-lo faz as pessoas desconfiarem das verdadeiras intenções de um site.

Também existem alguns pontos técnicos na implementação do SSL:

  • Quando um site HTTPS aponta para um site HTTP, o cabeçalho de referência (referrer) é removido por completo. Assim, seu analytics vai classificar esse tráfego e as referências de redes sociais como "direto", o que impede medir com precisão o ROI do marketing.
  • O HTTP/2 acelera muito a forma como os navegadores carregam os recursos da página, e ele só está disponível via HTTPS. Com isso, tempos de carregamento mais rápidos melhoram a experiência do usuário e também são um fator de ranqueamento.

Checklist para uma migração segura para SEO

Mudar de HTTP para HTTPS pode fazer você perder dados anteriores de análise ou de ranking, ou criar páginas duplicadas (algumas com HTTPS e outras sem). Você precisa:

  • Implementar redirecionamentos 301 de cada URL HTTP para a versão HTTPS equivalente
  • Atualizar todos os links internos, tags canonical e sitemaps XML
  • Reenviar seu sitemap no Google Search Console.

5. O que o cadeado e o HTTPS garantem (e o que não)

Há duas coisas que o cadeado sinaliza com certeza:

  1. Os dados trocados entre o servidor e o cliente (ou seja, o navegador) não podem ser lidos de forma útil por terceiros.
  2. O domínio no certificado corresponde ao domínio que está sendo acessado, para verificação.

No entanto, ele também não é um "tudo certo". Em especial, isso não quer dizer que o site não seja um golpe, que não vá usar seus dados de forma indevida, ou que você não possa pegar malware ao baixar algo dele. Como os certificados SSL em si são relativamente fáceis de obter, qualquer pessoa pode, tecnicamente, consegui-los e fazer suas operações parecerem mais legítimas.

Inclusive, até sites de phishing podem obter um certificado SSL, então confira com cuidado a URL real em mensagens e links que você receber.

Há três mensagens principais que você pode ver ao abrir um site, e todas indicam possíveis problemas:

  • "Não seguro" — Não há certificado instalado, ou a página carrega conteúdo misto HTTP/HTTPS.
  • "Certificado não corresponde" — O certificado foi emitido para outro domínio (ex.: emitido para example.com, mas acessado via www.example.com).
  • "Expirado" — O período de validade do certificado terminou (o que normalmente bloqueia o acesso).

6. Tipos de certificados SSL explicados

Há duas "classificações" de certificados SSL: por nível de validação e por escopo de cobertura.

A primeira categoria verifica (ou não) a entidade legal por trás do certificado, para garantir que ela é mesmo quem diz ser:

  • Validação de domínio exige apenas que a entidade seja dona do domínio que está registrando. Isso costuma ser feito por um registro DNS simples e pode ser automatizado. É mais indicado para sites pessoais ou blogs.
  • Validação de organização verifica o endereço legal ou as informações de contato da entidade para provar que ela realmente existe. Isso muitas vezes é necessário para blogs de empresas.
  • Validação estendida vai mais a fundo nos registros para garantir que a empresa é legítima. Em alguns navegadores, esse tipo de validação mostra a URL em verde ou adiciona um ícone de "seguro" na frente. Se sua empresa armazena dados ou perfis de usuários, ou faz transações, ela precisa desse tipo de validação.

A segunda classificação é por quantos domínios são "cobertos" pelo certificado.

  • SSL de domínio único protege um domínio (ex.: website.com). Isso inclui todas as páginas desse domínio (como "website.com/main", "website.com/blog" e assim por diante).
  • SSL curinga (Wildcard) protege um domínio e todos os seus subdomínios (*.website.com). É melhor para sites com transações, em que você pode criar subdomínios como "shop." ou "app." para área do usuário, ou "blog." para conteúdo informativo.
  • SSL multi-domínio (SAN) protege vários nomes de domínio diferentes com um único certificado.

7. Quem emite certificados SSL?

A emissão, validação e revogação de certificados SSL é feita por uma autoridade certificadora (ou CA). Os navegadores mantêm uma lista interna de CAs confiáveis, então, se um certificado é emitido por uma CA dessa lista, os navegadores mostram o cadeado. Se não, eles exibem um aviso de segurança.

Vale lembrar que certificados raiz (root) são autoassinados pelas CAs e já vêm pré-instalados em sistemas operacionais e navegadores. Certificados intermediários formam uma cadeia do certificado raiz até o certificado do seu site, criando a hierarquia de confiança que os navegadores verificam.

Certificados autoassinados são gerados sem uma CA e geram avisos de segurança em todos os principais navegadores. Eles servem para desenvolvimento interno (como grandes empresas que precisam de autenticação de usuários para controle de versão de arquivos), mas são praticamente inúteis quando usados em um site online.

8. Como conseguir um certificado SSL grátis

Normalmente, você pode consultar seu provedor de domínio e ver se ele oferece certificados SSL gratuitos (geralmente DV) ou trabalha com CAs específicas. Isso garante que você precise fazer o mínimo de manutenção do seu certificado SSL. No entanto, se você optar por usar registro de domínio sem hospedagem e configurar o site por conta própria, a Cloudflare oferece SSL grátis para qualquer site.

Quanto ao registro de um certificado, há três opções:

  • Validação por e-mail: A CA envia um link de confirmação para um endereço administrativo padrão associado ao domínio (como admin@ ou webmaster@), e você aprova o pedido clicando nele.
  • Validação por DNS: Você adiciona um registro TXT ou CNAME indicado pela CA nas configurações de DNS do seu domínio, provando que você controla o domínio.
  • Envio de arquivo HTTP (HTTP-01): Você coloca um arquivo de token específico em um caminho definido no seu servidor web, e a CA confirma que ele está acessível via HTTP antes de emitir o certificado.

SSL grátis vs. pago

Certificados SSL gratuitos (como os da Cloudflare) são totalmente válidos para a maioria dos sites pessoais e blogs, pois muitas vezes são certificados DV de domínio único. Para empresas, certificados pagos permitem ampliar tanto a cobertura quanto o nível de validação.

Além disso, serviços SSL pagos geralmente vêm com benefícios extras, como suporte dedicado, gestão pelo provedor e renovações automáticas. Assim, a menos que você precise refazer seu site, seu certificado SSL deve durar para sempre.

Por exemplo, a Register.Domains oferece certificados SSL da Comodo por preços acessíveis, cobrindo de DV a EV e com o suporte de uma das CAs mais confiáveis do setor.

9. Como instalar um certificado SSL e redirecionar HTTP para HTTPS

  1. Instale o certificado no seu servidor web. A maioria dos painéis modernos de hospedagem (incluindo Plesk e cPanel) oferece instalação de SSL com um clique. Na hospedagem compartilhada da Register.Domains, a configuração de SSL já faz parte do processo de configuração.
  2. Configure um redirecionamento 301 de HTTP para HTTPS. Adicione o redirecionamento no arquivo .htaccess (Apache) ou na configuração do servidor (Nginx). Um 301 sinaliza aos mecanismos de busca que a mudança é permanente e transfere o valor dos links (link equity) sem perdas.
  3. Corrija erros de conteúdo misto. Qualquer página que carregue recursos HTTP — imagens, scripts, folhas de estilo — em uma conexão HTTPS vai gerar avisos no navegador. Atualize todas as URLs dos ativos para HTTPS ou use URLs relativas ao protocolo.
  4. Atualize links internos, tags canonical e sitemaps XML para apontar para as versões HTTPS de todas as URLs. No WordPress, uma ferramenta de buscar e substituir no banco de dados faz isso de forma eficiente.
  5. (Opcional) Adicionar HSTS. HTTP Strict Transport Security instrui os navegadores a sempre usar HTTPS no seu domínio, mesmo se o usuário digitar http:// manualmente. Teste bem antes de ativar, pois um HSTS mal configurado pode impedir o acesso dos visitantes.

10. Como verificar se seu site já tem SSL

Você pode simplesmente digitar seu domínio com https:// na frente. Se aparecer uma mensagem de erro ou se você for redirecionado para HTTP, você não tem um certificado SSL.

Se você contratou um certificado SSL, tente acessar http://seudominio.com. Se o certificado estiver funcionando, você deve ser redirecionado automaticamente para a versão HTTPS. Depois, use um verificador de redirecionamento para confirmar que é um redirecionamento permanente 301.

Além disso, você pode clicar no cadeado e verificar o status real do certificado. Se quiser uma verificação mais completa, o SSL Labs oferece uma avaliação gratuita e detalhada da configuração do seu certificado, incluindo a força das cifras e a validade da cadeia.

11. Quanto tempo dura um certificado SSL e o que acontece quando expira?

Certificados SSL/TLS têm um período máximo de validade de 397 dias, aplicado por todos os principais navegadores. Isso foi reduzido de dois anos para garantir que os donos de domínio mantenham a segurança do site. Na prática, porém, certificados gratuitos ou DV muitas vezes duram apenas 90 dias a meio ano. Certificados SSL pagos normalmente duram cerca de um ano.

Quando um certificado expira, os navegadores mostram imediatamente um erro em tela cheia que bloqueia os visitantes de acessarem seu site. Rastreadores de mecanismos de busca também sinalizam certificados expirados, e o tráfego orgânico pode cair bastante em poucos dias.

No entanto, a maioria das plataformas de hospedagem e provedores de certificados oferece renovação automática. Você pode ativar isso e checar se está funcionando criando uma notificação para quando o certificado SSL inicial expirar. Vale lembrar: não confie no "configurar e esquecer", pois renovações totalmente automáticas podem falhar se sua forma de pagamento expirar, se seus registros DNS mudarem ou se o método de validação parar de funcionar.

12. Mitos comuns sobre SSL que impedem donos de sites de agir

"Meu site é pequeno demais para precisar de SSL."

Avisos de segurança do navegador não diferenciam blogs pessoais pequenos de grandes plataformas de e-commerce. Todo site em HTTP recebe o mesmo rótulo ou aviso de "Não seguro".

"SSL deixa meu site mais lento."

O handshake de TLS adiciona apenas alguns milissegundos na primeira conexão e pode até deixar a conexão mais rápida, porque ativa a multiplexação do HTTP/2, que carrega vários recursos da página ao mesmo tempo. Além disso, o TLS moderno acelera o processo ao salvar dados de sessão em cookies, evitando parte do vai-e-volta do handshake.

"Eu não recebo pagamentos, então não preciso."

Qualquer formulário no seu site transmite dados do usuário. Sem SSL, esses dados viajam em texto simples. Mesmo um site apenas informativo se beneficia do SSL, com melhor posicionamento nos mecanismos de busca, melhor atribuição no analytics e sem avisos de segurança do navegador que diminuem a confiança do visitante.

Proteja visitantes e gere confiança

Proteja visitantes e gere confiança com um certificado SSL da Comodo da Register.Domains.

Obtenha seu certificado SSL hoje

13. Perguntas frequentes

Como verificar se um certificado SSL está ativo?

A forma mais rápida é acessar https://seudominio.com e procurar o ícone de cadeado na barra de endereço do navegador.

Um site com HTTPS ainda pode ser inseguro ou usado para golpes?

Sim, pois o HTTPS só garante que a conexão entre seu navegador e o servidor é segura. Sites de phishing ainda podem obter um certificado e dizer que são legítimos, mas usar checkouts falsos ou redirecionamentos.

Quanto custa um certificado SSL por ano?

Certificados SSL DV gratuitos estão disponíveis por provedores como Let's Encrypt e Cloudflare e muitas vezes já vêm em planos de hospedagem. Certificados DV pagos de CAs comerciais geralmente começam em torno de US$10–US$30 por ano e incluem garantia e suporte dedicado. A Register.Domains lista todas as opções de SSL da Comodo com preços transparentes, para você comparar planos sem taxas escondidas.

Se eu mover meu site para um novo provedor de hospedagem, meu certificado SSL é transferido automaticamente?

Certificados SSL não são transferidos automaticamente entre provedores de hospedagem, pois ficam vinculados ao servidor web onde o domínio foi instalado. Ao migrar, você pode exportar o certificado e a chave privada do host antigo e reinstalá-los no novo servidor (se o certificado ainda for válido) ou obter um novo certificado com seu novo provedor.

Mais artigos

Mais Artigos