SSL Check: Verificacao Completa do Certificado SSL/TLS do Seu Site

HTTPS e certificados SSL: por que sao fundamentais

HTTPS nao e mais opcional: desde 2018 o Chrome marca como "Nao seguro" todos os sites HTTP, o Google penaliza sites sem HTTPS no ranking, e as APIs modernas exigem conexoes seguras. Na base do HTTPS esta o certificado SSL/TLS, um documento digital que vincula a identidade de um dominio a uma chave criptografica publica. Quando um navegador se conecta a um site HTTPS, verifica o certificado para garantir que esta se comunicando com o servidor legitimo e nao com um impostor (man-in-the-middle).

Um certificado SSL mal configurado causa erros no navegador que afastam os visitantes, compromete o SEO e pode expor os dados dos usuarios. Os problemas mais comuns incluem: certificado expirado, cadeia de certificacao incompleta, hostname nao correspondente, protocolos TLS obsoletos e cipher suites fracos. Nosso SSL Check verifica todos esses aspectos em segundos, fornecendo um grau geral e recomendacoes especificas para cada problema encontrado.

O que o SSL Check verifica

$ ssl-check --target esempio.com

[Grade]     A+
[Subject]   esempio.com
[Issuer]    Let's Encrypt Authority X3
[Protocol]  TLS 1.3
[Cipher]    TLS_AES_256_GCM_SHA384
[Key Size]  2048 bit RSA
[Valid]     2026-01-15 → 2026-04-15
[Days Left] 41 days
[Chain]     3 certificati (leaf → intermediate → root)
[SAN]       esempio.com, www.esempio.com, api.esempio.com

O grau vai de A+ (configuracao otima) a F (problemas criticos). Um grau A requer: TLS 1.2+ com ciphers seguros, certificado valido com cadeia completa, chave de pelo menos 2048 bits, e HSTS ativo. Para obter A+ e necessario tambem HSTS preload. Grau B indica ciphers aceitaveis mas nao otimos. C ou inferior significa TLS 1.0/1.1 ativo ou ciphers fracos — a corrigir urgentemente. Verifique tambem os headers de seguranca HTTP com Security Headers para um quadro completo.

A cadeia de certificacao

Um certificado SSL nao funciona sozinho: faz parte de uma cadeia de confianca. O certificado do seu site (leaf) e assinado por uma CA intermediaria, que por sua vez e assinada por uma root CA presente no trust store do navegador. Se a cadeia esta incompleta (falta um certificado intermediario), alguns navegadores mostram erros enquanto outros nao (porque baixam automaticamente os intermediarios faltantes). Para uma verificacao aprofundada da cadeia, use Certificate Chain que visualiza cada elo e identifica problemas.

Para verificar quem esta autorizado a emitir certificados para seu dominio, configure os registros CAA e verifique-os com CAA Record Lookup. Os registros CAA sao o mecanismo DNS que limita quais Certificate Authorities podem emitir certificados, adicionando uma camada de protecao contra emissao nao autorizada.

Renovacao e automacao

Os certificados Let's Encrypt duram 90 dias, os comerciais tipicamente 1 ano. A renovacao tardia e a causa mais comum de erros SSL em producao. A solucao e a automacao: certbot e outros clientes ACME renovam automaticamente os certificados Let's Encrypt. Para certificados comerciais, configure lembretes pelo menos 30 dias antes do vencimento. Monitore a expiracao dos seus certificados regularmente com o SSL Check — um certificado que expira sem aviso e um incidente evitavel.

Ao renovar um certificado, verifique que o novo certificado cubra todos os SANs (Subject Alternative Names) necessarios. Um erro frequente e renovar o certificado para exemplo.com esquecendo www.exemplo.com ou api.exemplo.com. Apos a renovacao, teste imediatamente com o SSL Check para confirmar que o novo certificado esta sendo servido corretamente, a cadeia esta completa e o grau esta inalterado.