<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=238571769679765&amp;ev=PageView&amp;noscript=1">

    ⏱ 10 min de leitura

    Em 2026, ter certificado SSL deixou de ser diferencial e virou requisito básico. Sites sem HTTPS são marcados como "Não seguro" pelos navegadores, perdem posição no Google e são ignorados por usuários desconfiados. Mais que isso: muitas APIs modernas, integrações de pagamento e sistemas críticos simplesmente não funcionam sem TLS adequadamente configurado. Conhecer a tecnologia em profundidade deixou de ser tema "de equipe técnica" e virou conhecimento operacional para qualquer profissional ligado a digital.

    Este artigo cobre o que é certificado SSL com precisão técnica (incluindo a relação entre SSL e TLS, frequentemente confundidos), como funciona a criptografia subjacente, os tipos disponíveis (DV, OV, EV, Wildcard, Multi-domain), o impacto de Let's Encrypt e ACME no mercado, as mudanças importantes em 2026 (validade reduzida, TLS 1.3 dominante, HSTS) e como escolher o certificado adequado. Direcionado a profissionais técnicos, gestores de produto e empresários que precisam entender o tema com profundidade.

    Neste artigo:

    1. O que é certificado SSL/TLS
    2. SSL vs TLS: a confusão que vale esclarecer
    3. Como o handshake TLS funciona
    4. Tipos de certificado: DV, OV, EV, Wildcard, Multi-domain
    5. Let's Encrypt e a revolução dos certificados gratuitos
    6. O que mudou em certificados em 2026
    7. Como configurar HTTPS na sua empresa
    8. Onde a EVEO entra na sua estratégia
    9. Perguntas frequentes

    O que é certificado SSL/TLS

    Certificado SSL/TLS Certificado SSL/TLS é um arquivo digital emitido por uma Autoridade Certificadora confiável que vincula um par de chaves criptográficas a uma identidade (domínio ou organização), permitindo estabelecer conexões criptografadas entre cliente e servidor através do protocolo TLS, garantindo confidencialidade, integridade e autenticidade dos dados trocados.

    Na prática, o certificado cumpre três funções simultâneas. Criptografa a comunicação entre o navegador e o servidor, garantindo que dados sensíveis (senhas, números de cartão, dados pessoais) não sejam interceptados em redes intermediárias. Autentica o servidor, provando ao cliente que está conectado ao site real, não a uma cópia maliciosa montada em ataque de man-in-the-middle. Garante integridade, certificando que os dados não foram alterados durante o trânsito.

    O símbolo visual mais reconhecido é o cadeado fechado ao lado da URL no navegador, junto com a substituição de http:// por https://. Em 2026, o oposto também é importante: navegadores modernos (Chrome, Firefox, Safari, Edge) marcam sites HTTP sem certificado como "Não seguro" de forma destacada, prejudicando confiança e conversão.

    HTTPS deixou de ser diferencial e virou requisito básico. Site sem certificado SSL em 2026 é como loja sem porta — pode até funcionar, mas o sinal que passa para clientes, usuários e mecanismos de busca já é o de algo errado.

    SSL vs TLS: a confusão que vale esclarecer

    O nome "SSL" virou tão popular no mercado que ficou no jargão mesmo depois da tecnologia ser substituída. A história rápida:

    SSL (Secure Sockets Layer)
    Protocolo original, criado pela Netscape entre e . SSL 2.0 (1995) e SSL 3.0 (1996) foram amplamente usados nos anos 90, mas têm vulnerabilidades graves que levaram à descontinuação. SSL 3.0 foi formalmente desativado em após o ataque POODLE.
    TLS (Transport Layer Security)
    Sucessor do SSL, padronizado pelo IETF em com o TLS 1.0. As versões evoluíram: TLS 1.1 (2006), TLS 1.2 (2008) e TLS 1.3 (2018). TLS 1.0 e 1.1 foram desativados pela maior parte dos navegadores em por terem fragilidades de segurança. Em 2026, apenas TLS 1.2 e TLS 1.3 são considerados seguros.

    O nome "SSL" continuou no mercado mesmo depois da migração técnica para TLS. "Certificado SSL", "SSL/TLS", "SSL HTTPS" — todos são termos coloquiais para a mesma coisa: o certificado digital que habilita HTTPS. A tecnologia em uso real é TLS desde os anos 2000, mas a palavra "SSL" virou genérica.

    Como o handshake TLS funciona

    O processo de estabelecer uma conexão HTTPS é chamado handshake TLS e acontece em milissegundos no início de cada conexão. As etapas básicas:

    1. Cliente Hello
    O navegador envia ao servidor a lista de versões TLS suportadas, cipher suites disponíveis e um número aleatório (client random). É o equivalente a "estes são os algoritmos que eu falo".
    2. Server Hello e envio do certificado
    O servidor escolhe a versão TLS e cipher suite a usar, envia seu próprio número aleatório (server random) e o certificado digital (que contém a chave pública do servidor e a identidade verificada).
    3. Validação do certificado pelo cliente
    O navegador valida o certificado: verifica a assinatura da Autoridade Certificadora (CA), checa se está dentro da validade, confirma que o domínio bate com o solicitado, consulta listas de revogação (CRL/OCSP). Se algo falha, o navegador exibe alerta de segurança.
    4. Troca de chaves (Key Exchange)
    Cliente e servidor estabelecem uma chave de sessão simétrica usando o algoritmo de troca de chaves (ECDHE em TLS modernos). Essa chave é única para cada conexão e não trafega na rede em texto claro.
    5. Sessão criptografada estabelecida
    A partir desse ponto, toda a comunicação entre cliente e servidor é criptografada com a chave de sessão simétrica usando algoritmos como AES-256-GCM ou ChaCha20-Poly1305. Performance alta e segurança forte.

    Em TLS 1.3, o handshake foi otimizado para acontecer em apenas uma viagem de ida e volta (1-RTT), e em alguns casos com retomada de sessão prévia, em zero (0-RTT) — aceleração significativa em comparação com TLS 1.2.

    Tipos de certificado: DV, OV, EV, Wildcard, Multi-domain

    Os certificados se diferenciam em dois eixos: nível de validação (quanto a CA verifica antes de emitir) e cobertura de domínios (quantos domínios cobrem):

    Por nível de validação

    DV (Domain Validation)
    Validação básica. A CA confirma apenas que o solicitante controla o domínio (via verificação automatizada por arquivo HTTP, registro DNS ou e-mail). Emissão em minutos. Padrão em certificados gratuitos do Let's Encrypt. Adequado para sites pessoais, blogs e a maioria das aplicações comuns.
    OV (Organization Validation)
    Validação intermediária. Além de domínio, a CA verifica a existência da organização (consulta a base de dados pública, eventualmente contato telefônico). Emissão em horas a dias. Custo baixo a médio. Adequado para empresas que querem mais credibilidade comercial.
    EV (Extended Validation)
    Validação extensa. A CA realiza verificação rigorosa: documentação da empresa, identidade dos signatários, eventualmente visita técnica. Emissão em dias a semanas. Custo mais alto. Adequado para instituições financeiras, e-commerce de grande porte e sites com requisitos regulatórios fortes. Atenção: o destaque visual do EV (barra verde com nome da empresa) foi removido pelos navegadores em 2019 — Chrome em setembro/2019, Firefox em outubro/2019. Em 2026, o usuário comum não distingue visualmente um EV de um DV.

    Por cobertura de domínios

    Single Domain
    Cobre um único domínio: www.empresa.com.br. Mais simples e mais barato.
    Wildcard
    Cobre o domínio principal e todos os subdomínios de primeiro nível: *.empresa.com.br protege www, blog, loja, api e quaisquer outros. Não cobre subdomínios de segundo nível (app.api.empresa.com.br). Útil para empresas com muitos subdomínios.
    Multi-Domain (SAN)
    Cobre múltiplos domínios distintos em um único certificado: empresa.com.br, empresa.com, outraempresa.com.br. Útil quando a empresa opera múltiplas marcas ou domínios.
    Multi-Domain Wildcard
    Combina os dois: múltiplos domínios, cada um podendo ter wildcard. Mais flexível, mais caro.

    Let's Encrypt e a revolução dos certificados gratuitos

    Antes de , certificados SSL custavam de algumas dezenas a centenas de dólares por ano, e a configuração era manual e propensa a erro. O Let's Encrypt, lançado pela Internet Security Research Group (ISRG) com apoio de Mozilla, EFF, Cisco, Akamai e outros, mudou tudo:

    • Certificados gratuitos para qualquer domínio com validação DV automatizada.
    • Protocolo ACME (Automatic Certificate Management Environment) que automatiza emissão, renovação e instalação. Ferramentas como Certbot tornaram o processo de "instalar SSL" uma operação de um comando.
    • Validade curta (90 dias) com renovação automatizada — força boas práticas de rotação e elimina certificados esquecidos vencendo em produção.
    • Adoção massiva: em 2026, Let's Encrypt emitiu bilhões de certificados, é a maior CA do mundo em volume, e está presente em dezenas de milhões de sites.

    Hospedagens modernas (Hostinger, Locaweb, KingHost, plataformas como Vercel, Cloudflare Pages, Netlify) frequentemente entregam Let's Encrypt já configurado e renovando automaticamente. Servidores web modernos (Nginx, Caddy, Apache) integram nativamente com Certbot ou ferramentas similares.

    O que mudou em certificados em 2026

    Para quem ficou desatualizado nos últimos anos, vale conhecer as mudanças mais importantes:

    Barra verde do EV foi removida (2019)
    Chrome e Firefox eliminaram o destaque visual de certificados EV. Pesquisas mostraram que usuários não distinguiam ou não confiavam mais nesse sinal. Hoje todos os certificados válidos exibem cadeado fechado — sem distinção visual entre DV, OV e EV.
    TLS 1.0 e 1.1 desativados (2020)
    Navegadores principais removeram suporte a TLS 1.0 e 1.1. Sites que ainda dependem dessas versões deixaram de funcionar adequadamente. Em 2026, configuração segura aceita apenas TLS 1.2 e 1.3.
    Validade máxima reduzida
    O CA/Browser Forum aprovou redução progressiva da validade máxima de certificados. Em 2020, caiu de 825 dias para 398 dias. Em 2024-2026, o movimento é para validade ainda menor (ideal: 90 dias, padrão Let's Encrypt). A renovação automatizada virou requisito operacional, não conveniência.
    HSTS e HSTS preload
    HTTP Strict Transport Security força navegadores a sempre usar HTTPS, mesmo se o usuário digitar HTTP. HSTS Preload (lista mantida pelo Chromium e adotada por todos os navegadores principais) inclui sites que querem proteção desde o primeiro acesso. Padrão em ambientes corporativos sérios.
    Certificate Transparency (CT) obrigatório
    Todos os certificados válidos em navegadores modernos precisam estar registrados em logs públicos de Certificate Transparency. Permite que empresas monitorem se certificados foram emitidos para seus domínios sem autorização. Ferramenta de descoberta de comprometimentos em CAs.
    Cipher suites modernas
    Configurações modernas usam AES-256-GCM, ChaCha20-Poly1305 (especialmente em mobile), ECDHE para troca de chaves, certificados RSA-4096 ou ECDSA P-384. Cipher suites antigas (RC4, DES, 3DES, MD5) não devem aparecer em configuração de 2026.

    Como configurar HTTPS na sua empresa

    O processo prático em 2026 é mais simples do que era. Os passos:

    1. Decidir o tipo de certificado

    Para a maior parte dos casos, DV automatizado via Let's Encrypt resolve. Para empresas com requisitos de validação de organização ou compliance, OV é o próximo passo. EV apenas em casos específicos (instituições financeiras, governo, requisitos regulatórios).

    2. Escolher a Autoridade Certificadora

    Para DV gratuito: Let's Encrypt, ZeroSSL, Buypass. Para OV/EV pago: DigiCert, Sectigo, GlobalSign, GoDaddy, Comodo. Provedores de cloud frequentemente oferecem certificados gerenciados (AWS Certificate Manager, Google Cloud Certificate Manager, Azure Key Vault).

    3. Configurar o servidor

    Servidores web modernos (Nginx, Apache, Caddy, IIS) suportam TLS nativamente. Caddy automatiza tudo (Let's Encrypt + HTTPS) sem configuração. Nginx e Apache exigem configuração manual ou via Certbot. Para infraestrutura cloud, plataformas gerenciadas (Cloudflare, AWS CloudFront, Azure CDN) entregam HTTPS na borda sem configuração de servidor.

    4. Configurar redirecionamento HTTP para HTTPS

    Todo tráfego HTTP precisa redirecionar para HTTPS, evitando inconsistências e mantendo SEO. Redirect 301 (permanente) é o padrão para essa configuração.

    5. Implementar HSTS

    Adicionar header HSTS com max-age longo (mínimo 1 ano), incluir subdomínios e considerar preload. Garante que navegadores nunca tentem HTTP novamente após primeira visita.

    6. Validar a configuração

    Testar em ferramentas como SSL Labs, SecurityHeaders.com e Mozilla Observatory. Nota A+ é o objetivo. Notas B ou inferiores indicam configurações antigas que precisam ser revistas.

    7. Automatizar renovação

    Para Let's Encrypt e outros certificados de 90 dias, renovação manual é desastre esperando para acontecer. Configurar Certbot, Caddy ou ACME-cliente automatizado para renovar 30 dias antes do vencimento e recarregar o servidor automaticamente.

    Onde a EVEO entra na sua estratégia

    Certificado SSL/TLS é apenas uma camada de segurança em uma arquitetura corporativa moderna. A EVEO opera nuvem privada e servidores dedicados em data centers brasileiros, com camadas de segurança que incluem firewall corporativo, WAF, monitoramento contínuo, suporte para configurações TLS modernas e infraestrutura preparada para HTTPS em escala.

    Para empresas com requisitos regulatórios fortes (financeiro, saúde, governo, jurídico), o modelo combina infraestrutura nacional com soberania de dado, simplificando conformidade com LGPD onde TLS é parte das medidas técnicas exigidas. Casos documentados em histórias de sucesso mostram operações que estruturaram defesa em camadas com TLS bem configurado como peça do quadro maior.

    No fim, certificado SSL/TLS não é mais decisão de "se usar". É decisão de "como configurar bem". Em 2026, HTTPS é padrão obrigatório para qualquer site sério. A diferença entre operações maduras e amadoras está na configuração: TLS 1.2/1.3, cipher suites modernas, HSTS ativo, renovação automatizada, validação periódica em ferramentas como SSL Labs. Detalhes que parecem técnicos demais até o dia em que um certificado vence em produção e o site cai por horas — ou pior, fica vulnerável sem ninguém perceber.

    Perguntas frequentes sobre certificado SSL

    Qual a diferença entre SSL e TLS?

    SSL (Secure Sockets Layer) é o protocolo original criado pela Netscape entre 1995 e 1996. TLS (Transport Layer Security) é o sucessor, padronizado pelo IETF em 1999. SSL 3.0 foi formalmente desativado em 2015 por causa de vulnerabilidades graves. TLS 1.0 e 1.1 foram desativados em 2020. Em 2026, apenas TLS 1.2 e TLS 1.3 são seguros. Apesar disso, o termo "SSL" continua sendo usado coloquialmente para se referir a certificados TLS — "certificado SSL" e "certificado TLS" significam a mesma coisa no jargão de mercado.

    Let's Encrypt é confiável para uso corporativo?

    Sim, plenamente. Let's Encrypt é uma Autoridade Certificadora reconhecida globalmente, lançada em 2015 pela Internet Security Research Group com apoio de Mozilla, EFF, Cisco, Akamai e outros. Em 2026, é a maior CA do mundo em volume, com bilhões de certificados emitidos. Empresas de todos os tamanhos (incluindo grandes corporações) usam Let's Encrypt em produção. Limitações: oferece apenas DV (Domain Validation), com validade de 90 dias. Para empresas que precisam de OV ou EV, é necessário usar CAs comerciais.

    Preciso pagar por certificado SSL ou Let's Encrypt resolve?

    Para a maior parte dos casos, Let's Encrypt resolve com folga. Sites institucionais, blogs, e-commerces médios, APIs corporativas — todos atendidos perfeitamente por DV automatizado. Pagar por certificado faz sentido em três cenários: (1) precisa de OV (validação de organização), (2) precisa de EV (validação extensa com auditoria), (3) precisa de garantias comerciais e SLA (algumas CAs comerciais oferecem warranties em caso de falha de segurança). Para empresas comuns, gastar em certificado pago raramente entrega ROI proporcional.

    Por que certificados agora têm validade tão curta?

    Por dois motivos principais. Primeiro, segurança: validade curta limita a janela de exposição se um certificado for comprometido — um certificado roubado de 90 dias causa muito menos dano que um de 2 anos. Segundo, prática operacional: certificados curtos forçam a automação de renovação, eliminando o risco de certificados esquecidos vencendo em produção. O CA/Browser Forum reduziu progressivamente a validade máxima nos últimos anos (de 825 para 398 dias em 2020), e o movimento é para certificados ainda mais curtos. Let's Encrypt sempre operou com 90 dias e provou que renovação automatizada funciona em escala.

    Como saber se meu site tem configuração TLS adequada?

    Use ferramentas de auditoria gratuitas. As principais: SSL Labs Server Test (Qualys) para análise completa da configuração TLS, com nota A+ a F; SecurityHeaders.com para verificar headers de segurança HTTP (incluindo HSTS); Mozilla Observatory para análise abrangente de segurança web. Configuração em 2026 deve ter: TLS 1.2 e 1.3 apenas, cipher suites modernas (ECDHE + AES-256-GCM ou ChaCha20-Poly1305), HSTS ativo com preload, certificado válido emitido por CA reconhecida, redirecionamento HTTP→HTTPS funcionando, e renovação automatizada configurada.

    Deixe um comentário

    Posts relacionados

      e book guia completo openstack
      e book guia completo openstack

      Siga a EVEO