Dois clientes independentes relataram falhas SSL afetando usuários Android, apesar de seus certificados serem válidos e corretamente instalados. Navegadores desktop não mostraram erros, enquanto dispositivos móveis específicos rejeitaram as conexões como não confiáveis.
Resumo do Estudo de Caso
- Problema: Novas cadeias CA não eram confiáveis por dispositivos Android mais antigos.
- Impacto: Usuários móveis viram erros SSL apesar de certificados válidos.
- Causa raiz: Repositórios de confiança Android ficam atrás das migrações de cadeia CA.
- Resolução: Reemitir usando cadeias legadas ou com assinatura cruzada, ou migrar para uma CA com melhor compatibilidade móvel.
- Percepção chave: A confiança SSL depende das plataformas cliente, não apenas da validade do certificado.
Um certificado SSL pode ser tecnicamente válido mas ainda assim falhar em produção. A validade do certificado apenas confirma que ele foi emitido e é criptograficamente sólido. Não garante confiança universal em todos os dispositivos.
É exatamente isso que acontece durante migrações de cadeia CA. As Autoridades Certificadoras rotacionam raízes e intermediários por segurança, conformidade e sustentabilidade a longo prazo.
Mas as plataformas cliente, especialmente sistemas operacionais móveis, atualizam seus repositórios de confiança muito mais lentamente e de forma inconsistente. O resultado é uma fratura entre a infraestrutura moderna de certificados e a confiança de dispositivos legados.
Neste estudo de caso, examinamos dois incidentes reais onde mudanças de cadeia CA causaram falhas de certificados SSL válidos em dispositivos Android. Mostramos como essas falhas surgiram em produção, por que diagnósticos padrão não revelaram imediatamente a causa, e como diferentes caminhos de resolução restauraram a compatibilidade móvel em cada caso.
Xamisoft: Quando uma Atualização de Servidor Quebrou a Confiança Android
Xamisoft desenvolve aplicações de aprendizado de idiomas usadas em plataformas desktop e móveis. Sua infraestrutura estava rodando sem problemas SSL no Windows Server 2019. Navegadores desktop e dispositivos Android funcionavam normalmente, e a implantação do certificado seguia uma configuração IIS padrão. O problema apareceu apenas após uma atualização de rotina.
O Problema
Eles migraram seu ambiente do Windows Server 2019 para Windows Server 2025 e reinstalaram o certificado SSL usando o mesmo método que havia funcionado antes. Do ponto de vista do servidor, tudo estava correto.
O certificado foi instalado, os certificados raiz e intermediário estavam presentes, e navegadores desktop não mostraram avisos. Nada sugeria uma configuração SSL quebrada. Então usuários Android começaram a relatar falhas. Em versões Android mais antigas, especialmente Android 6, o site exibia o erro: “Este certificado não é de uma autoridade confiável.”

Em alguns casos, erros similares apareceram até mesmo em builds Android mais novas. Isso tornou a situação mais difícil de interpretar. À primeira vista, parecia ser um servidor mal configurado ou um arquivo de certificado faltando.
Do ponto de vista do cliente, a situação não fazia sentido:
- O mesmo certificado não tinha problemas no Windows Server 2019.
- Estava agora falhando no Windows Server 2025.
- Navegadores desktop ainda funcionavam.
- Apenas usuários móveis estavam bloqueados.
Análise da Causa Raiz
Este era o cenário clássico “tudo é válido, mas usuários estão bloqueados”. Neste ponto, duas dimensões técnicas começaram a surgir.
1. A Própria Cadeia CA
No Windows Server 2019, o certificado havia sido emitido sob a hierarquia CA mais antiga Sectigo RSA Domain Validation Secure Server. Esta cadeia é amplamente confiável, incluindo por versões mais antigas.
No Windows Server 2025, o mesmo certificado estava agora encadeado para: Sectigo Public Server Authentication CA DV R36.
Esta era parte da hierarquia de confiança mais nova da Sectigo. Era válida e confiável por sistemas modernos, mas alguns repositórios de confiança Android ainda não a incluíam. Para esses dispositivos, a cadeia de certificados simplesmente não tinha âncora confiável.
2. Entrega da Cadeia de Certificados
O Windows Server 2019 preenche certificados intermediários faltantes usando o repositório do sistema. O IIS podia recuperar intermediários nos bastidores e apresentar uma cadeia completa aos clientes, mesmo que o administrador não tivesse instalado explicitamente cada componente. O Windows Server 2025 mudou esse comportamento. Ele exigia que a cadeia completa fosse configurada explicitamente. Se qualquer certificado intermediário estivesse faltando ou incorretamente ordenado, alguns clientes falhariam na validação mesmo que navegadores pudessem recuperar a cadeia através de busca AIA (Authority Information Access).
Isso significava que a Xamisoft estava lidando com dois problemas sobrepostos:
- Alguns dispositivos Android não confiavam na nova hierarquia Sectigo.
- Alguns clientes não estavam recebendo a cadeia completa corretamente do servidor.
Qualquer problema sozinho pode quebrar SSL. Juntos, eles obscurecem a causa real.
Isso explicou por que:
- Navegadores desktop ainda funcionavam.
- Ferramentas de teste SSL mostravam principalmente resultados verdes.
- Dispositivos Android falhavam imprevisivelmente, dependendo da versão e build do fabricante.
Nosso Diagnóstico
Primeiro, esclarecemos que dispositivos Android nunca usam o repositório de confiança do servidor. Instalar certificados raiz no Windows não faz nada pelo Android. A decisão de confiança é feita inteiramente no dispositivo.
Segundo, explicamos que o Windows Server 2025 exigia completude explícita da cadeia. O servidor precisava apresentar:
- O certificado do servidor
- Os certificados intermediários corretos
- Na ordem correta
Confiar na recuperação implícita não era mais viável.
A Resolução
Em vez de tentar forçar o IIS a lidar com isso de forma confiável, Xamisoft implementou uma correção estrutural. Eles colocaram Nginx na frente do IIS como proxy e configuraram o Nginx para servir a cadeia completa de certificados explicitamente.
Isso alcançou duas coisas:
- A cadeia completa foi entregue consistentemente para cada cliente.
- Dispositivos Android que ainda confiavam nas partes mais antigas da hierarquia puderam validar corretamente.
Após a mudança, erros SSL desapareceram e dispositivos Android 6 puderam acessar o site novamente. Nenhuma mudança no certificado em si foi necessária.
Este caso destacou que falhas SSL frequentemente não são causadas por um erro, mas emergem das interações entre evolução da cadeia CA, repositórios de confiança da plataforma, comportamento do software do servidor e mecânicas de entrega de certificado. A correção da Xamisoft reparou o caminho de entrega entre infraestrutura CA moderna e confiança de cliente legado.
Coppernic: Android 6 Falhou Após uma Reemissão de Certificado
Coppernic é uma empresa francesa de tecnologia que projeta e desenvolve soluções de hardware e software móveis profissionais para identificação, controle de acesso e sistemas de coleta de dados.
O Problema
O problema apareceu durante uma substituição de certificado de rotina apenas em dispositivos Android legados. A Coppernic estava no processo de trocar de um certificado SSL existente para um recém-adquirido.
A instalação em si correu como esperado. Navegadores desktop aceitaram o certificado sem avisos. Nenhuma configuração errada do lado do servidor era visível. Ainda assim, terminais Android 6.0.1 não podiam mais estabelecer uma conexão confiável.
O certificado era válido, adequadamente instalado, e emitido por uma Autoridade Certificadora legítima, mas esses dispositivos o rejeitaram. O certificado anterior havia funcionado. Nada mais na infraestrutura havia mudado.
Análise da Causa Raiz
A única diferença era a cadeia. O novo certificado foi emitido sob a hierarquia atualizada da Sectigo, usando o intermediário R46. Esta cadeia faz parte do processo de migração de raiz da Sectigo. É compatível e confiável por plataformas modernas, mas muitos repositórios de confiança Android mais antigos não contêm as âncoras necessárias para validá-la.
A Coppernic identificou a situação precisamente:
“Parece que o novo certificado CA (R46) não está incorporado.”
Eles tentaram restaurar a compatibilidade adicionando o certificado USERTrust, mas isso não ajudou. Os dispositivos Android ainda rejeitaram a cadeia. O problema não eram arquivos faltando no servidor, mas a ausência de um caminho de confiança compatível nos próprios dispositivos.
Neste ponto, a questão mudou da instalação para a compatibilidade.

Nosso Diagnóstico
Nossa equipe de suporte confirmou que o comportamento coincidia com a migração de cadeia CA da Sectigo. Começando em meados de 2025, novos certificados foram emitidos sob hierarquias atualizadas por padrão, incluindo a cadeia R46. Embora válida e confiável por plataformas modernas, esse caminho de confiança não estava presente em muitos repositórios de confiança Android mais antigos.
Também esclarecemos que adicionar certificados como USERTrust não afetaria dispositivos Android. O Android valida confiança exclusivamente contra seu repositório interno. Se o dispositivo não reconhece o caminho emissor, nenhuma mudança do lado do servidor pode anular a falha.
A Resolução
A solução prática foi reemitir o certificado usando uma CA com assinatura cruzada.
Depois que a Coppernic contatou a Sectigo, o certificado foi reemitido sob uma cadeia com assinatura cruzada que preservava um caminho para uma raiz mais antiga, ainda confiável. Nenhuma mudança na infraestrutura foi necessária. Apenas o caminho de confiança foi ajustado.
Uma vez que o certificado reemitido foi implantado:
- Dispositivos Android 6.0.1 conectaram normalmente.
- Plataformas desktop continuaram a confiar no certificado.
- A incompatibilidade desapareceu imediatamente.
Este caso é importante porque ele isola o problema a uma única variável. Não houve migração de servidor ou inconsistência de entrega de cadeia. Ambos os certificados eram válidos, mas apenas um era utilizável em produção.
A experiência da Coppernic mostra quão rapidamente a compatibilidade pode colapsar quando uma Autoridade Certificadora move sua emissão padrão para frente. Um caminho de confiança mais novo não é automaticamente mais amplo. Em ambientes que ainda dependem de frotas Android legadas, pode ser mais estreito e mais frágil.
Como Dispositivos Decidem se Confiam em um Certificado
Quando um dispositivo verifica um certificado SSL, ele constrói um caminho de confiança do certificado do site através de um ou mais intermediários até um certificado raiz já presente em seu repositório de confiança. Se o dispositivo não pode completar esse caminho usando certificados que ele confia, a conexão falha, mesmo que o certificado em si seja válido.

O Android é fragmentado por design. Fabricantes enviam versões diferentes, cronogramas de atualização variam, e muitos dispositivos param de receber atualizações do sistema muito antes de serem substituídos. Um telefone pode permanecer ativo por anos após sua última atualização de segurança ou repositório de confiança. De uma perspectiva de certificado, esse dispositivo se torna uma cápsula do tempo.
Repositórios de confiança vivem dentro do sistema operacional. Se o OS não é atualizado, o repositório de confiança também não é. Isso significa que um dispositivo pode continuar a confiar em raízes de certificados e caminhos de confiança que eram atuais anos atrás, mas não se alinham mais com como Autoridades Certificadoras modernas emitem cadeias.
Por que Estes Problemas São Difíceis de Diagnosticar
Diagnósticos SSL padrão confirmam que o certificado é válido, a cadeia está completa e o servidor está servindo-o adequadamente. O que eles não validam é se cada dispositivo cliente no ecossistema pode confiar nessa cadeia.
Nos nossos casos, todas as verificações convencionais passaram. Ferramentas de teste SSL retornaram resultados verdes, configuração do servidor estava correta, e navegadores desktop funcionaram sem erros. Do ponto de vista da infraestrutura, nada estava quebrado.
A falha ocorreu fora do escopo de diagnósticos tradicionais. Apenas classes de dispositivos específicas (versões Android mais antigas com repositórios de confiança desatualizados) foram afetadas. Porque a maioria dos fluxos de trabalho de validação não incluem testes de compatibilidade de confiança no nível do dispositivo, o problema permaneceu invisível até usuários reais o encontrarem. Isso cria um ponto cego de diagnóstico: um certificado pode ser válido, corretamente instalado e totalmente compatível, enquanto ainda gera erros para usuários desavisados.
Como Diagnosticamos o Problema
Identificamos o problema através de reconhecimento de padrão.
Quando um certificado válido funciona em plataformas desktop mas falha em ambientes móveis específicos, isso aponta para longe da configuração do servidor e em direção à compatibilidade do repositório de confiança. Isso não é óbvio a menos que você tenha exposição prévia a migrações CA e comportamento de confiança no nível da plataforma.
O aparecimento de falhas específicas do Android ao lado de uma cadeia CA recém-introduzida imediatamente estreitou o escopo da investigação. O problema não era mais “por que SSL está quebrado,” mas “quais repositórios de confiança não aceitam mais este caminho de confiança.”
Isso requer separar dois conceitos que frequentemente se confundem:
- validade do certificado (correção criptográfica)
- confiança do dispositivo (aceitação da plataforma)
Reconhecer essa diferença nos permitiu diagnosticar o problema rapidamente e com precisão.
Os Caminhos de Resolução que Oferecemos
Uma vez que confirmamos o problema de compatibilidade de confiança, corrigi-lo tornou-se uma questão de estratégia em vez de reparo. Cada opção representava um equilíbrio diferente entre estabilidade a curto prazo e alinhamento a longo prazo com o ecossistema de confiança.
- Reemitir usando a cadeia legada: Isso imediatamente restaurou a compatibilidade com dispositivos Android mais antigos. Foi a maneira mais rápida de remover erros voltados ao usuário e estabilizar o tráfego de produção.
- Aceitar compatibilidade parcial: Alguns ambientes escolhem priorizar plataformas modernas e aceitar que dispositivos mais antigos encontrarão erros SSL. Isso simplifica a infraestrutura, mas limita o alcance da audiência.
- Mudar para uma Autoridade Certificadora diferente: Migrar para outra CA pode fornecer compatibilidade móvel a longo prazo e reduzir dependência de cadeias de confiança transicionais.
Planejar migração em fases: Mesmo ao usar uma cadeia legada temporariamente, planejamento a longo prazo é necessário. O modelo de confiança subjacente continuará a evoluir, e administradores de websites devem abordar a compatibilidade estruturalmente.
Por que Reemitir o Certificado Não é uma Correção Permanente
Reemitir com uma cadeia legada ou com assinatura cruzada adia o problema de compatibilidade; não o remove. Essas cadeias existem para fazer a ponte de transições, não para substituir caminhos de confiança modernos.
À medida que as Autoridades Certificadoras continuam modernizando suas hierarquias, intermediários mais antigos e caminhos de compatibilidade serão retirados. Quando isso acontecer, os mesmos padrões de falha retornarão se os sistemas permanecerem dependentes deles.
Reemitir é, portanto, um estabilizador, não uma solução. Compra tempo. Estabilidade a longo prazo requer alinhamento com como os ecossistemas de confiança evoluem, não resistência a eles.
Essa é a lição estrutural por trás de ambos os estudos de caso.
Considerações Finais: Por que Certificados “Válidos” Ainda Falham em 2026
Este caso mostra como SSL/TLS funciona na prática em 2026. As Autoridades Certificadoras se movem rapidamente. Elas rotacionam cadeias, modernizam caminhos de confiança e respondem a novos requisitos de segurança. Dispositivos não. Em smartphones, muitos usuários permanecem ancorados a modelos de confiança que estão anos atrás da infraestrutura CA atual.
Por isso, “válido” não significa mais automaticamente “utilizável”.
Organizações não deveriam tratar SSL como uma configuração única. Tem que ser gerenciado como uma camada de compatibilidade entre:
- Autoridades Certificadoras
- Sistemas operacionais
- Ciclos de vida de dispositivos
- Ambientes de usuários
Isso significa:
- Saber quais dispositivos seus usuários realmente executam, não apenas quais navegadores você testa.
- Testar certificados contra plataformas móveis reais, incluindo versões Android mais antigas.
- Rastrear anúncios CA e migrações de cadeia como riscos operacionais, não ruído de fundo.
- Evitar dependência de um único caminho de confiança ou uma única CA sempre que possível.
Flexibilidade torna-se uma propriedade de segurança. E é aqui que o suporte se torna uma camada de estabilidade, não apenas uma função de helpdesk.
Na SSL Dragon, nossa equipe de suporte traduz mudanças do ecossistema em decisões acionáveis:
- reconhecendo problemas de compatibilidade de confiança
- separando comportamento da plataforma de erros do servidor
- escolhendo estratégias de mitigação
- protegendo acesso de usuários móveis
Fazemos a ponte entre padrões e realidade de produção. Se você está vendo problemas SSL inesperados em dispositivos móveis ou quer verificar como seu certificado se comporta ao vivo, execute seu domínio através do nosso SSL Checker para ver exatamente o que os dispositivos dos seus usuários veem.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

