Ao solicitar um certificado SSL/TLS, a Autoridade Certificadora não o entrega simplesmente. Ela precisa de comprovação de que você realmente controla o domínio que está protegendo. É aí que entra a Validação de Controle de Domínio (DCV). É o processo de verificação que confirma a propriedade do domínio antes de qualquer certificado ser emitido.

Isso não é apenas burocracia desnecessária. DCV previne que atacantes obtenham certificados válidos para domínios que não possuem, o que destruiria completamente o modelo de confiança que mantém HTTPS seguro. O CA/Browser Forum, órgão da indústria que estabelece requisitos básicos para emissão de certificados, exige métodos de DCV específicos que todas as Autoridades Certificadoras devem seguir.
Neste guia, vamos quebrar o que é DCV, explorar os diferentes métodos de validação disponíveis e ajudá-lo a escolher a abordagem certa para sua infraestrutura.
Índice
- O que é Validação de Controle de Domínio (DCV)?
- Métodos de Validação de Domínio por Email
- Métodos DCV Baseados em DNS
- Métodos de Validação por Arquivo HTTP/HTTPS
- Cenários Especiais de Validação
- Escolhendo o Método DCV Certo para Suas Necessidades
- Problemas Comuns de DCV e Soluções Rápidas
Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
O que é DCV (Validação de Controle de Domínio)?
Validação de Controle de Domínio (DCV) é o processo que Autoridades Certificadoras usam para verificar a propriedade do domínio antes de emitir um certificado SSL/TLS. Ela confirma o controle exigindo que o solicitante responda por email, carregue um arquivo no domínio ou configure registros DNS para provar autoridade sobre o domínio.
O processo funciona assim: a CA gera um desafio único (geralmente uma string alfanumérica aleatória), e você demonstra o controle respondendo por meio da infraestrutura do seu domínio. Isso pode ser por registros DNS, seu servidor web ou endereços de email administrativos. Uma vez validado, a CA sabe que está emitindo o certificado para o proprietário legítimo do domínio, não para alguém tentando se passar por seu site.
Padrões da Indústria e Conformidade
Os requisitos de linha de base do CA/Browser Forum definem exatamente como o DCV deve ser realizado. Estas não são sugestões, são regras rígidas que as CAs devem seguir ou arriscam perder seu status confiável nos navegadores.
Os padrões atuais incluem:
- A validação deve usar um dos métodos DCV aprovados (cobertos abaixo)
- Corroboração de Emissão Multi-Perspectiva (MPIC) exige validação de múltiplas perspectivas de rede para prevenir ataques localizados
- A validação é reutilizável por 397 dias para certificados Organization Validated (OV) e Extended Validation (EV)
- Os certificados Domain Validated (DV) não podem reutilizar validação, você deve validar a cada renovação
Aqui está algo importante: esses requisitos estão ficando mais rigorosos. A indústria está reduzindo os prazos máximos de vida útil dos certificados e os períodos de validação.
O CA/Browser Forum definiu um cronograma claro para a vida útil dos certificados: agora estão limitados a 200 dias a partir de 15 de março de 2026, com reduções adicionais para 100 dias a partir de 15 de março de 2027 e 47 dias a partir de 15 de março de 2029.
Esse endurecimento também afeta os ciclos de validação, tornando a revalidação frequente e a automação de certificado SSL cada vez mais necessárias.

Métodos de Validação de Domínio por Email
1. Verificação de Email Construído
A validação por email é o método DCV mais comum porque é simples e não requer mudanças técnicas na sua infraestrutura. A CA envia um email contendo um link de validação ou código para endereços específicos no seu domínio.
A CA tentará estes endereços de email genéricos:
Você não precisa ter todos estes configurados, apenas um endereço funcional da lista. A CA verifica seus registros MX do domínio para confirmar que o email pode ser entregue, depois envia a solicitação de validação.
Quando o email chegar, você clicará em um link de verificação ou copiará um código de volta para a plataforma de pedido de certificado. O processo geralmente leva apenas alguns minutos se seu email estiver devidamente configurado.
Este método funciona bem se:
- Você tem infraestrutura de email estabelecida para seu domínio
- Você está solicitando certificados ocasionalmente, não em escala
- Você quer o processo de validação mais simples sem alterações de DNS ou servidor web
A desvantagem? Você não pode automatizá-lo facilmente, e se seu email ficar inativo ou os endereços não forem monitorados, sua validação falhará.
2. Email para Contato DNS TXT
Esta variação combina email com DNS. Em vez de usar endereços genéricos, você publica um endereço de email específico em um registro DNS TXT em _validation-contactemail.seudominio.com. A CA lê este registro e envia validação para esse endereço.
Por que usar esta abordagem?
- Reutilização: Uma vez configurado, permanece válido durante o período de validação total
- Controle centralizado: Você decide exatamente qual email recebe solicitações de validação
- Amigável para equipes: Aponte para uma lista de distribuição, não para a caixa de entrada de uma pessoa
Aqui está a configuração prática:
_validation-contactemail.seudominio.com. IN TXT "mailto:[email protected]"
Basta criar este registro DNS TXT com seu email de contato preferido, e a CA o usará automaticamente. Isso é particularmente útil para organizações que gerenciam múltiplos certificados. Você pode padronizar a validação em todos os domínios por meio de uma única caixa de entrada monitorada.
Métodos DCV Baseados em DNS
1. Validação por Registro DNS TXT
A validação por registro DNS TXT é popular pela sua flexibilidade e potencial de automação. Ao solicitar um certificado, a CA fornece um nome de host específico e token de validação que você adiciona como um registro TXT ao DNS do seu domínio.
O processo básico:
- A CA fornece um nome de host (geralmente _dvsauth.seudominio.com) e token durante o pedido do certificado
- Você cria o registro TXT com esse token como valor
- A CA consulta seu DNS para confirmar que o registro existe
- Uma vez verificado, eles emitem o certificado
O registro normalmente se parece com isto:
_dvsauth.seudominio.com. IN TXT "ab1c2d3e4f5g6h7i8j9k0l1m2n3o4p5q"
Validação por DNS TXT é ideal para:
- Automação – APIs de DNS tornam isso scriptável através de clientes ACME ou ferramentas personalizadas
- Ambientes sem servidores web – você só precisa de acesso ao DNS
- Certificados wildcard – cobriremos esse requisito na seção Cenários Especiais
Uma coisa a observar: tempo de propagação do DNS. Se seus servidores de nomes tiverem valores TTL altos ou propagação lenta, a validação pode demorar mais. É melhor definir valores TTL mais baixos antes de adicionar registros de validação.
2. Método de Registro DNS CNAME
A validação por CNAME usa um tipo de registro diferente, mas alcança o mesmo objetivo. Em vez de armazenar o token de validação diretamente, você cria um CNAME que aponta para um alvo de validação controlado pela CA.
Configuração de exemplo:
_dnsauth.seudominio.com. IN CNAME random-token.dcv.digicert.com.
A diferença-chave: o CNAME aponta para um registro que a CA controla, o que significa que eles podem atualizar o alvo de validação sem você alterar o DNS. Algumas CAs também permitem isso para pré-validação de domínio, você configura o CNAME uma vez e eles podem validar sempre que você solicita certificados.
Validação por CNAME funciona bem quando:
- Seu provedor de DNS facilita CNAMEs em comparação com registros TXT
- Você quer capacidade de pré-validação de domínio para certificados OV/EV
- Você está trabalhando com CAs que suportam fluxos de validação baseados em CNAME
Nem todas as CAs oferecem validação por CNAME, então verifique com seu provedor. Mas quando disponível, é uma opção sólida para equipes que preferem este tipo de registro DNS.
Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
Métodos de Validação por Arquivo HTTP/HTTPS
1. Demonstração Prática HTTP
A validação baseada em arquivo requer que você coloque um arquivo específico no seu servidor web em um caminho designado. A CA então acessa esse arquivo via HTTP ou HTTPS para confirmar que você controla o servidor hospedando o domínio.
O caminho padrão é: http://seudominio.com/.well-known/pki-validation/fileauth.txt
A CA fornece tanto o nome de arquivo exato quanto o conteúdo. Você cria este arquivo no seu servidor, garante que seja acessível, e a CA valida buscando-o.
Pontos de implementação críticos:
- O arquivo deve estar acessível na porta 80 (HTTP) ou porta 443 (HTTPS)
- O diretório .well-known é um local padrão definido na RFC 8615
- Isso é necessário para validação de endereço IP. Se você está obtendo um certificado para um endereço IPv4 ou IPv6, a validação HTTP é geralmente sua única opção
A validação baseada em arquivo é direta se você tiver acesso direto ao servidor web. É menos ideal se estiver usando serviços de hospedagem com acesso restrito ao sistema de arquivos ou CDNs que possam armazenar em cache ou interferir nas solicitações de validação.
Dicas de resolução de problemas:
- Certifique-se de que redirecionamentos não interferem. A CA deve alcançar a URL de validação exata
- Verifique que firewalls permitem acesso HTTP/HTTPS
- Desabilite cache para o diretório de validação
- Verifique que as permissões do arquivo permitem acesso de leitura pública
2. Integração de Desafio ACME
O protocolo ACME (Automated Certificate Management Environment) usa desafios HTTP-01 e DNS-01 para DCV automatizado. Se estiver usando Let’s Encrypt ou outra CA compatível com ACME, seu cliente ACME lida com todo o processo de validação automaticamente.
Desafio HTTP-01: Coloca um arquivo de validação em /.well-known/acme-challenge/ (similar à validação HTTP padrão)
Desafio DNS-01: Cria um registro TXT em _acme-challenge.seudominio.com
Seu cliente (como Certbot, acme.sh ou ferramentas integradas em plataformas como cPanel) lida com validação e renovação de certificado sem intervenção manual. ACME tornou-se o padrão para gerenciamento automático de certificado, particularmente para organizações gerenciando grandes inventários de certificados.
Cenários Especiais de Validação
1. Validação de Certificado Multi-Domínio e SAN
Se estiver solicitando um certificado multi-domínio (também chamado certificados SAN ou UCC), você deve validar cada domínio separadamente. Uma única verificação de DCV não cobre todos os domínios no certificado.
Exemplo: Um certificado para example.com, www.example.com e shop.example.com requer três validações separadas, mesmo que sejam domínios relacionados.
A boa notícia? Você pode misturar métodos de validação. Use validação por email para um domínio e validação por DNS para outro se isso corresponder à sua infraestrutura. A plataforma da CA rastreará o status de validação para cada domínio e só emitirá o certificado uma vez que todos os domínios sejam verificados.
2. Validação de Domínio Wildcard
Certificados wildcard (cobrindo *.example.com) requerem métodos de validação baseados em DNS. A maioria das CAs não aceitará validação por email ou HTTP para wildcards devido a considerações de segurança.
Por que validação DNS para wildcards?
Os certificados wildcard protegem subdomínios ilimitados. A validação por arquivo só poderia provar o controle de um subdomínio por vez, e a validação por email não demonstra controle sobre todos os possíveis subdomínios. A validação por DNS prova que você controla toda a infraestrutura DNS do domínio, o que é apropriado para um certificado que protege todos os subdomínios.
Se precisar de um certificado wildcard, planeje usar validação TXT ou CNAME de DNS. Estas são geralmente suas únicas opções.
3. Considerações de Validação de Subdomínio
Você pode validar no nível do subdomínio ou do domínio pai, dependendo do método de validação. Para validação HTTP, o arquivo deve estar acessível no subdomínio específico que está validando. Para validação por DNS, você cria registros no nível de subdomínio apropriado.
Uma distinção importante: Validar o domínio pai (example.com) não valida automaticamente subdomínios (blog.example.com) para a maioria dos métodos de validação. Cada subdomínio precisa de sua própria validação, a menos que você esteja usando um certificado wildcard.
Escolhendo o Método DCV Certo para Suas Necessidades
Combine o método com sua infraestrutura:
Compare Todos os Métodos DCV em um Relance
| Método de Validação | Tempo para Completar | Capacidade de Automação | Habilidade Técnica | Suporte a Wildcard | Reutilização (OV/EV) | Melhor Para |
|---|---|---|---|---|---|---|
| Email (Genérico) | 5-30 minutos | ❌ Baixa | ⭐ Mínima | ✅ Sim | ❌ Não | Certificados únicos, pequenas implantações |
| Email (DNS TXT) | 15-60 minutos | ❌ Baixa | ⭐⭐ Baixa-Moderada | ✅ Sim | ✅ Sim (397 dias) | Equipes com múltiplos certificados, email estabelecido |
| Registro DNS TXT | 10-60 minutos | ✅ Alta | ⭐⭐⭐ Moderada | ✅ Sim | ✅ Sim (397 dias) | Automação, wildcards, grandes implantações |
| DNS CNAME | 15-60 minutos | ✅ Alta | ⭐⭐⭐ Moderada | ✅ Sim | ✅ Sim (397 dias) | Pré-validação de domínio, tokens gerenciados pela CA |
| Arquivo HTTP | 5-20 minutos | ⚠️ Média | ⭐⭐ Baixa-Moderada | ❌ Não | ❌ Não | Acesso direto ao servidor, endereços IP |
| ACME (HTTP-01) | 2-10 minutos | ✅ Muito Alta | ⭐⭐⭐⭐ Moderada-Alta | ❌ Não | N/A (renovação automática) | Automação total, Let’s Encrypt |
| ACME (DNS-01) | 2-10 minutos | ✅ Muito Alta | ⭐⭐⭐⭐ Moderada-Alta | ✅ Sim | N/A (renovação automática) | Automação total com wildcards |
Seleção de Método por Cenário
Use validação por email se:
- Você tem pedidos de certificado simples e únicos
- Os endereços de email administrativos genéricos são monitorados
- Você não precisa de automação
Use validação por TXT/CNAME de DNS se:
- Você precisa de certificados wildcard
- Você está gerenciando múltiplos certificados
- Você não tem acesso ao servidor web
- Você quer capacidades de automação
Use validação por arquivo HTTP se:
- Você tem acesso direto ao servidor web
- Você está validando endereços IP
- As alterações de DNS são difíceis na sua organização

Problemas Comuns de DCV e Soluções Rápidas
Falhas de validação acontecem. Aqui estão os erros mais frequentes que você encontrará e como resolvê-los rapidamente.
Validação de Arquivo HTTP: “404 Não Encontrado”
Erro: “O sistema consultou um arquivo temporário em http://example.com/.well-known/pki-validation/[filename].txt, mas o servidor web respondeu com o seguinte erro: 404 (Não Encontrado).”
Soluções rápidas:
- Crie manualmente a estrutura de diretórios: /public_html/.well-known/pki-validation/
- Defina permissões: diretórios para 755, arquivos para 644
- Verifique regras .htaccess que possam bloquear o caminho /.well-known/
- Se o domínio foi adicionado recentemente, aguarde 24-48 horas para propagação
- Teste acessibilidade: curl -v http://seudominio.com/.well-known/pki-validation/test.txt
Causa comum: O caminho do arquivo de validação não existe ou não é publicamente acessível.
Validação HTTP: “Proíbe Redirecionamentos de DCV HTTP”
Erro: “cPanel (powered by Sectigo) forbids DCV HTTP redirections.”
Soluções rápidas:
- Desabilite temporariamente redirecionamentos para HTTPS durante a validação
- Exclua caminho /.well-known/* das regras de redirecionamento
- Verifique .htaccess, regras de página Cloudflare ou configuração do servidor para redirecionamentos
- Se usar CDN, desabilite temporariamente ou adicione exceção
Causa comum: Seu site redireciona HTTP para HTTPS ou redireciona para outro domínio, bloqueando a tentativa de validação da CA.
Validação DNS: “Nenhum Registro TXT que Corresponda”
Erro: “A consulta DNS para ‘_dvsauth.example.com’ para o desafio DCV não retornou nenhum registro ‘TXT’ que corresponda ao valor ‘[expected-value]’.”
Soluções rápidas:
- Aguarde 1-24 horas para propagação DNS (depende do TTL)
- Verifique o nome de host e valor exato: dig _dvsauth.example.com TXT +short
- Verifique erros de copiar/colar no token de validação
- Se usar DNS delegado (registros NS), adicione o registro TXT no provedor correto
- Reduza TTL para 300 segundos (5 minutos) antes de adicionar registros de validação
Causa comum: DNS ainda não propagou ou o registro tem erros de digitação.
Validação DNS: Registros CAA Bloqueando Emissão
Erro: “Certificate authority encountered a multiple perspective CAA check error.”
Soluções rápidas:
- Verifique registros CAA existentes: dig example.com CAA
- Adicione sua CA aos emissores permitidos: example.com. CAA 0 issue “digicert.com”
- Verifique que registros CAA são resolvidos globalmente usando ferramenta ping.pe
- Se não existirem registros CAA, você não precisa adicionar nenhum (ausência permite todas as CAs)
Causa comum: Os registros CAA restringem quais CAs podem emitir certificados para seu domínio.
Validação por Email: Email Não Recebido
Soluções rápidas:
- Verifique pastas de spam/lixo primeiro
- Verifique que estes endereços existem e recebem email: admin@, administrator@, webmaster@, hostmaster@, postmaster@
- Verifique registros MX: dig example.com MX
- Adicione à lista branca os domínios de envio de email da CA no seu filtro de spam
- Solicite reenvio de email do painel de controle da CA
Causa comum: Email de validação capturado por filtros de spam ou endereços administrativos não existem.
Específico da Plataforma: Falhas de AutoSSL do cPanel
Erro: “Local HTTP DCV error: An internal error occurred.”
Soluções rápidas:
- Verifique WHM > Manage AutoSSL logs para detalhes
- Aguarde 30 minutos e tente novamente (frequentemente se resolve automaticamente)
- Alterne entre provedores Sectigo e Let’s Encrypt
- Limpe fila AutoSSL: WHM > Manage AutoSSL > Clear pending queue
Comandos de Diagnóstico Rápido
Antes de contatar o suporte, execute estas verificações:
# Verifique propagação DNS
dig seudominio.com +short
dig _dvsauth.seudominio.com TXT +short
# Teste acessibilidade do arquivo HTTP
curl -v http://seudominio.com/.well-known/pki-validation/test.txt
# Verifique registros CAA e MX
dig seudominio.com CAA
dig seudominio.com MX
Simplifique Seu Gerenciamento de Certificado SSL com SSL Dragon
Acertar a validação de controle de domínio é crucial para implantação tranquila de certificados. SSL Dragon oferece certificados de Autoridades Certificadoras confiáveis com todos os métodos de validação que você precisa, quer prefira verificação por email, DNS ou HTTP.
Nossa equipe ajuda você a navegar pelos requisitos de DCV para certificados Domain Validated, Organization Validated e Extended Validation. Vamos orientá-lo através do método de validação que corresponde à sua infraestrutura e responder perguntas quando problemas de validação surgirem.
Pare de lutar com validação de certificado. Navegue pelas nossas opções de certificado SSL!
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10






