hero-generate

Verificador SSL

Verificação dos detalhes do certificado SSL
Aguarde enquanto verificamos a validade, a segurança e a configuração...

O SSL checker acima executa um diagnóstico completo em qualquer certificado SSL/TLS público e devolve um relatório detalhado que abrange a classificação de segurança, a cadeia de certificados, os cipher suites, as análises de vulnerabilidades e a compatibilidade com browsers. As secções abaixo explicam como interpretar cada parte do relatório.

Compreender a sua classificação de segurança SSL

Cada análise do SSL checker produz uma classificação por letra, de A+ até F, acompanhada de uma pontuação numérica de 100.

  • Uma classificação A ou A+ significa que o certificado está corretamente instalado, utiliza criptografia moderna e o servidor tem as funcionalidades de segurança adequadas ativadas.
  • Os certificados com classificação B são funcionais, mas revelam margem para reforço da segurança.
  • C e abaixo geralmente indicam uma versão TLS obsoleta, uma funcionalidade de segurança em falta ou um certificado prestes a expirar.

A pontuação é ponderada em cinco categorias:

  • Certificado (validade e algoritmo)
  • Confiança (Autoridade de Certificação reconhecida e integridade da cadeia)
  • Protocolo (versões TLS suportadas, protocolos obsoletos desativados)
  • Funcionalidades (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
  • Validade (tempo restante antes da expiração)

A maioria das quedas de classificação ocorre na categoria Funcionalidades. O certificado funciona, a cadeia está correta, o protocolo é atual, mas o HSTS não está configurado ou um registo CAA não está publicado. Estas são correções do lado do servidor e do DNS, não problemas de certificado.


Interpretar os detalhes do seu certificado

O SSL checker detalha cada certificado na cadeia campo a campo.

Common Name — o domínio principal para o qual o certificado foi emitido. Deve corresponder ao URL verificado, caso contrário o browser rejeita a ligação.

Emitido Por — o intermediário emissor mais a Autoridade de Certificação principal. Nomes reconhecidos como Sectigo, DigiCert, GeoTrust ou Google Trust Services são considerados de confiança automaticamente. Emissores desconhecidos ou qualquer certificado “autoassinado” irão gerar um aviso.

Válido De / Válido Até — a janela de validade do certificado. O campo Válido De é mais importante do que as pessoas pensam: se o relógio do servidor estiver errado ou um certificado for instalado antecipadamente, os browsers rejeitam-no como ainda não válido.

Algoritmo de Assinatura — os certificados modernos utilizam SHA-256, SHA-384 ou ecdsa-with-SHA256. O SHA-1 foi descontinuado há anos e qualquer certificado que ainda o utilize deve ser reemitido.

Chave Pública — RSA de 2048 bits ou superior é o padrão. ECC de 256 bits é a alternativa moderna e produz certificados mais pequenos e rápidos.

SAN (Subject Alternative Name) — nomes de host adicionais que o certificado cobre. Wildcards como *.example.com cobrem todos os subdomínios de um único nível. Os certificados multi-domínio listam aqui cada nome de host protegido. Para certificados DV, OV ou EV, a lista SAN define exatamente quais os domínios que o certificado irá validar.


Funcionalidades de segurança do certificado SSL explicadas

Para além do próprio certificado, o SSL checker reporta um painel de seis funcionalidades de segurança.

OCSP Stapling — o servidor obtém antecipadamente o seu próprio estado de revogação junto da CA e inclui-o no handshake TLS na porta 443. “Not Supported” adiciona latência a cada ligação. Normalmente é uma alteração de configuração de uma linha no Apache, Nginx ou IIS.

Perfect Forward Secrecy (PFS) — cada sessão utiliza uma chave única, pelo que um futuro comprometimento da chave privada não pode desencriptar tráfego passado. “Not Supported” significa que as sessões gravadas poderiam ser desencriptadas retroativamente. Ative dando preferência aos cipher suites ECDHE.

Certificate Transparency (CT) — os certificados emitidos são registados em logs CT públicos, permitindo que os proprietários de domínios detetem emissões incorretas. “Not Supported” num certificado público é incomum.

HSTS (HTTP Strict Transport Security) — um cabeçalho de resposta do servidor que indica aos browsers para recusarem ligações HTTP simples. Sem HSTS, um atacante pode fazer o downgrade de um visitante de HTTPS e intercetar o tráfego. Adicione um cabeçalho Strict-Transport-Security na configuração do servidor web.

Estado de Revogação do Certificado — o checker consulta OCSP e CRL para confirmar que o certificado não foi revogado. “Good” = ativo. “Revoked” = os browsers irão rejeitá-lo, reemita imediatamente. “Unknown” no CRL é comum e não é um problema se o OCSP devolver Good.

Registo DNS CAA — um registo DNS que lista quais as Autoridades de Certificação autorizadas a emitir certificados para o domínio. Sem ele, qualquer CA poderia tecnicamente emitir um certificado. Adicione um registo CAA no fornecedor de DNS listando as suas CAs.


Resultados da análise de vulnerabilidades TLS

São analisadas cinco vulnerabilidades TLS conhecidas. A maioria dos servidores foi corrigida há anos, pelo que o SSL checker normalmente confirma que está tudo em ordem.

Heartbleed (CVE-2014-0160) — um bug de leitura de memória no OpenSSL que expunha chaves privadas. “Safe” significa que o servidor executa uma versão corrigida do OpenSSL.

POODLE (CVE-2014-3566) — um ataque de padding-oracle contra SSLv3. “Safe” significa que o SSLv3 está desativado.

BEAST (CVE-2011-3389) — uma falha de cipher block chaining no TLS 1.0. “Safe” significa que o TLS 1.0 está desativado ou que o servidor utiliza cipher suites não vulneráveis.

ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. Uma falha de padding RSA que ressurgiu em muitas implementações de fornecedores. “Safe” significa que o servidor não expõe troca de chaves vulnerável.

Ticketbleed (CVE-2016-9244) — divulgação de memória específica do F5 BIG-IP através de tickets de sessão TLS. “Safe” significa que não existe nenhum dispositivo F5 sem correção.


Cipher suites e suporte de protocolos

O SSL checker agrupa os cipher suites suportados em TLS 1.3, TLS 1.2 e Fracos.

  • O TLS 1.3 tem uma lista reduzida de suites seguras por design.
  • A qualidade dos cipher suites do TLS 1.2 varia, razão pela qual cada suite é enumerada individualmente.
  • A coluna Fracos assinala protocolos ou cifras obsoletos que devem ser desativados: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES e qualquer cifra NULL ou EXPORT.

Os nomes dos cipher suites seguem uma estrutura previsível. Em TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:

  • ECDHE é a troca de chaves (que fornece Perfect Forward Secrecy)
  • ECDSA é o algoritmo de assinatura
  • AES_256_GCM é a cifra simétrica
  • SHA384 é a função de hash

Tanto o AES de 128 bits como o de 256 bits são seguros.


Validação da cadeia de certificados

O relatório apresenta a cadeia de certificados completa em três níveis:

  • Certificado do Servidor
  • Certificado Intermédio
  • Certificado Raiz

Cada nível é assinado pelo nível acima, e a cadeia deve terminar numa raiz em que o browser já confia.

“Chain Complete” significa que os browsers conseguem percorrer do servidor à raiz sem problemas.

“Incomplete” significa que um ou mais certificados intermédios estão em falta no que o servidor envia, pelo que os browsers não conseguem ligar o certificado a uma raiz de confiança e os visitantes veem um aviso de segurança.

As cadeias incompletas são um dos problemas de instalação SSL mais comuns, e o SSL checker assinala-os no topo do relatório. A solução é quase sempre reinstalar utilizando o bundle de cadeia completa fornecido pela CA. Os procedimentos variam consoante o servidor: o Apache utiliza uma diretiva de ficheiro de cadeia, enquanto o Nginx espera um fullchain.pem. O IIS trata a reconstrução da cadeia através do assistente de importação de certificados.


Verificar a expiração do certificado SSL

O SSL checker apresenta a expiração em dois locais: o resumo no topo mostra os dias restantes e a data Válido Até, e cada certificado na cadeia apresenta a sua própria janela de validade.

Ao abrigo do CA/Browser Forum Ballot SC-081v3, os prazos de validade dos certificados SSL/TLS públicos estão a ser progressivamente reduzidos. A partir de 15 de março de 2026, a validade máxima passou de 398 dias para 200 dias. Reduz para 100 dias a partir de 15 de março de 2027, e para 47 dias a partir de 15 de março de 2029.

Com um certificado de 200 dias, verificações mensais mais um lembrete aos 30 dias funcionam. Quando chegarem os certificados de 47 dias, a renovação manual será impraticável. A resposta padrão é a automação baseada em ACME, que permite ao servidor solicitar e renovar certificados sem intervenção manual.


Compatibilidade com browsers – quando é relevante

O SSL checker testa o certificado em 13 combinações de browsers e dispositivos. Os browsers modernos (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) devem sempre apresentar Suportado num certificado atual.

Plataformas móveis mais antigas como Android 5-7 e iOS 12 frequentemente apresentam suporte parcial. Se isso é relevante depende do público-alvo. Os browsers de desktop legados como o Internet Explorer 10 e 11 quase sempre falham com certificados modernos porque não suportam TLS 1.2 por defeito. Uma pontuação de 9/13 com todos os browsers modernos a verde é normal em 2026.


Quando executar uma verificação SSL

Uma única verificação após a instalação não é suficiente. Execute o SSL checker:

  • Após instalar um novo certificado
  • 30 dias antes da expiração num ciclo de 200 dias
  • Após cada renovação ou reemissão
  • Após uma migração de servidor ou alteração de IP
  • Após mudar de Autoridade de Certificação
  • Após migrar para uma configuração wildcard ou multi-domínio
  • Após ativar HSTS, OCSP Stapling ou qualquer alteração de configuração TLS

Perguntas frequentes

Com que frequência devo verificar meu certificado SSL?

Mensalmente é uma linha de base razoável. Com certificados de 200 dias agora sendo o máximo, defina um lembrete firme para executar uma verificação completa 30 dias antes da expiração. Execute uma verificação extra após renovações, pois erros de bundle de cadeia são o problema pós-renovação mais comum.

Copiar link

Qual precisa ser minha Classificação de Segurança SSL?

Procure obter uma classificação A ou A+. Um B funciona em todos os navegadores, mas a diferença geralmente aponta para problemas corrigíveis. A maioria das quedas de classificação rastreia dois itens que o SSL checker sinaliza no painel de recursos de segurança: um cabeçalho HSTS ausente ou um registro CAA não configurado. Nenhum deles requer tocar no certificado.

Copiar link

O que significa se o relatório mostrar uma “cadeia incompleta”?

Seu servidor não está enviando todos os certificados intermediários que os navegadores precisam. A solução rápida: Apache usa SSLCertificateChainFile ou um bundle combinado, Nginx espera um arquivo fullchain.pem, e IIS reconstrói a cadeia através do assistente de importação de certificado.

Copiar link

Posso verificar o certificado SSL de um hostname interno ou local?

Não, verificadores públicos não conseguem acessar hosts internos atrás de firewalls. De uma máquina na mesma rede, execute openssl s_client -connect host:443 -servername host para obter uma saída equivalente. A ferramenta de linha de comando OpenSSL é fornecida com a maioria das distribuições Linux e está disponível para Windows.

Copiar link

O SSL Checker funciona para certificados de qualquer Autoridade Certificadora?

Sim. Ele lê qualquer certificado que o servidor apresenta, de Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services e outros. O catálogo de certificados SSL da SSL Dragon cobre seis dessas CAs lado a lado.

Copiar link

Por que o relatório mostra “Not Supported” para HSTS mesmo que meu SSL funcione?

HSTS é um cabeçalho de resposta do servidor, não faz parte do certificado. O certificado pode ser perfeitamente válido enquanto HSTS permanece não configurado. Adicione-o na configuração do servidor web: Apache usa Header always set Strict-Transport-Security, Nginx usa add_header Strict-Transport-Security.

Copiar link