InspectWP Logo
Glossário

O que é um certificado SSL?

8 de fevereiro de 2026 Atualizado em 19 de abr. de 2026

Um certificado SSL (tecnicamente um certificado TLS, já que o SSL foi substituído pelo TLS há anos) é um pequeno arquivo de dados que fica no seu servidor web e estabelece uma conexão criptografada entre o servidor e os navegadores dos seus visitantes. Quando um certificado está corretamente instalado, seu site carrega via HTTPS em vez de HTTP, e os navegadores exibem o ícone de cadeado na barra de endereços para sinalizar que a conexão é segura.

Como a criptografia TLS/SSL realmente funciona

Quando alguém digita sua URL e aperta enter, o navegador e o seu servidor passam por um processo chamado handshake TLS. Acontece em milissegundos, mas há bastante coisa por trás dos panos:

  1. Hello: o navegador envia uma mensagem "Client Hello" ao servidor, listando quais métodos de criptografia ele suporta.
  2. Certificate: o servidor responde com seu certificado TLS, que contém a chave pública do servidor e informações sobre a autoridade certificadora (CA) que o emitiu.
  3. Verificação: o navegador verifica o certificado contra sua lista interna de CAs confiáveis. Confere se o certificado não expirou, se corresponde ao nome de domínio e se não foi revogado.
  4. Troca de chave: o navegador e o servidor combinam uma chave de sessão compartilhada usando criptografia assimétrica (pares de chave pública/privada). Essa chave de sessão será usada para criptografar os dados em si.
  5. Comunicação criptografada: a partir desse ponto, todos os dados que fluem entre o navegador e o servidor são criptografados com a chave de sessão usando criptografia simétrica, que é muito mais rápida que a assimétrica.

O ponto-chave: o par de chaves pública/privada é usado apenas para estabelecer a conexão de forma segura. O conteúdo das páginas, envios de formulário e cookies são criptografados com uma chave de sessão temporária, única para cada conexão.

Tipos de certificados SSL/TLS

Os certificados vêm em três níveis de validação, e as diferenças se referem à confiança e verificação, não à força da criptografia. A criptografia em si é igualmente forte em todos os tipos.

  • Domain Validation (DV): a CA apenas verifica que você controla o domínio, geralmente fazendo você definir um registro DNS ou responder a um e-mail no domínio. Isso leva minutos e costuma ser gratuito (Let's Encrypt, por exemplo). Certificados DV são perfeitamente adequados para a maioria dos sites WordPress, blogs e sites de pequenas empresas.
  • Organization Validation (OV): a CA verifica a existência legal da sua organização. Isso envolve checar documentos de registro empresarial e tipicamente leva alguns dias. Certificados OV exibem o nome da organização nos detalhes do certificado (embora não visivelmente na barra do navegador). São mais comuns em sites corporativos e plataformas SaaS.
  • Extended Validation (EV): o processo de verificação mais rigoroso. A CA conduz uma análise minuciosa da organização, incluindo status legal, endereço físico e contatos autorizados. Certificados EV costumavam exibir o nome da empresa em uma barra verde no navegador, mas a maioria dos navegadores removeu essa distinção visual nos últimos anos. Ainda são usados por bancos, instituições financeiras e grandes sites de e-commerce, embora seu valor prático tenha diminuído.

Let's Encrypt e certificados gratuitos

O Let's Encrypt mudou o cenário de SSL quando foi lançado em 2015. Antes disso, mesmo certificados DV básicos custavam dinheiro e exigiam instalação manual. O Let's Encrypt fornece certificados DV gratuitos e automatizados, válidos por 90 dias e que podem ser renovados automaticamente.

Hoje, praticamente todo provedor de hospedagem suporta Let's Encrypt. Muitos o incluem em seus pacotes de hospedagem e cuidam da instalação e renovação automaticamente. Se sua hospedagem não oferece SSL automático, ferramentas como o Certbot podem gerenciar o ciclo de vida do certificado para você no seu servidor.

Genuinamente não há motivo para rodar um site WordPress sem HTTPS em 2025. O certificado é gratuito, a configuração é automatizada e os benefícios (segurança, SEO, confiança do usuário) são significativos.

Certificados wildcard

Um certificado padrão cobre um único domínio (por exemplo, example.com) e às vezes www.example.com também. Se você administra múltiplos subdomínios (shop.example.com, blog.example.com, app.example.com), você normalmente precisaria de um certificado separado para cada um.

Um certificado wildcard cobre todos os subdomínios sob um único domínio. Ele usa um padrão *.example.com e protege qualquer subdomínio nesse nível. O Let's Encrypt suporta certificados wildcard, mas eles exigem validação por DNS em vez do método mais simples de validação HTTP. A maioria dos provedores de hospedagem gerenciada lida com isso automaticamente, se necessário.

Expiração e renovação de certificados

Todo certificado TLS tem uma data de expiração. Certificados Let's Encrypt expiram após 90 dias, enquanto certificados comprados comercialmente normalmente duram um ano (o máximo permitido desde 2020). Quando um certificado expira, os navegadores exibem um aviso em página inteira que impede a maioria dos visitantes de prosseguir ao seu site. Esse é um problema sério que pode interromper seu tráfego por completo.

A renovação automática é crítica. Se você usa Let's Encrypt pela sua hospedagem, a renovação geralmente acontece em segundo plano sem nenhuma ação da sua parte. Se você gerencia seu servidor diretamente, certifique-se de que o Certbot ou seu cliente ACME está configurado para renovar certificados automaticamente, e teste se isso de fato funciona. Um problema comum é uma cron job configurada para renovação, mas que falha silenciosamente por causa de um problema de permissão ou de uma configuração de servidor alterada.

Como verificar seu certificado SSL

Há várias formas de verificar se o seu certificado está funcionando corretamente:

  • Cadeado do navegador: clique no ícone de cadeado na barra de endereços do navegador. Você pode ver o emissor do certificado, a data de expiração e o domínio que ele cobre.
  • SSL Labs (ssllabs.com/ssltest): a ferramenta online padrão da indústria para testar sua configuração SSL. Verifica não só o certificado, mas também as versões do protocolo TLS, suítes de cifra e vulnerabilidades conhecidas. Procure obter uma classificação A ou A+.
  • Ferramentas de linha de comando: openssl s_client -connect example.com:443 mostra informações detalhadas do certificado para depuração técnica.

WordPress e HTTPS

Instalar um certificado no servidor é só metade do trabalho. Você também precisa garantir que o WordPress use HTTPS de forma consistente:

  • Configurações de URL do site: em Configurações > Geral do WordPress, tanto "Endereço do WordPress" quanto "Endereço do site" devem usar https://. Errar isso causa loops de redirecionamento e problemas de login.
  • Force SSL: adicione define('FORCE_SSL_ADMIN', true); ao seu wp-config.php para garantir que a área administrativa sempre use HTTPS.
  • Redirecionamentos 301: configure redirecionamentos em nível de servidor (via .htaccess no Apache ou bloco de servidor no nginx) para redirecionar todas as requisições HTTP para HTTPS. Isso garante que visitantes e mecanismos de busca sempre cheguem à versão segura.
  • Conteúdo misto: após migrar para HTTPS, você pode ter imagens, scripts ou folhas de estilo ainda carregados via HTTP. Os navegadores bloqueiam ou alertam sobre esses recursos inseguros. Use um plugin como o "Better Search Replace" para atualizar URLs HTTP antigas no seu banco de dados e verifique seu tema por referências HTTP fixas no código.
  • Cabeçalho HSTS: o cabeçalho Strict-Transport-Security diz aos navegadores para sempre usar HTTPS para o seu site, mesmo que alguém digite http:// na barra de endereços. Isso elimina o breve momento em que um visitante poderia se conectar via HTTP antes de ser redirecionado.

Por que "SSL" é, na verdade, TLS

O termo "certificado SSL" persistiu mesmo com o protocolo SSL em si tendo sido descontinuado desde 2015. O SSL 3.0 foi a última versão, e tinha vulnerabilidades de segurança conhecidas (o ataque POODLE, entre outros). O substituto é o TLS (Transport Layer Security), que está atualmente na versão 1.3. Os navegadores modernos não suportam mais SSL; usam apenas TLS 1.2 e TLS 1.3.

Quando provedores de hospedagem, autoridades certificadoras ou plugins do WordPress falam de "SSL", na verdade querem dizer TLS. Os termos são usados de forma intercambiável na prática, embora sejam tecnicamente protocolos diferentes. Se o seu servidor ainda suporta TLS 1.0 ou 1.1, você deve desabilitá-los também, já que também são considerados inseguros.

O que o InspectWP verifica

O InspectWP verifica se o seu site WordPress tem um certificado TLS válido, checa a data de expiração do certificado e detecta problemas de conteúdo misto onde recursos HTTP são carregados em páginas HTTPS. Também examina seus cabeçalhos de segurança, incluindo HSTS, para confirmar que sua configuração HTTPS está completa e adequadamente configurada.

Artigo anterior

O que é o robots.txt?

Próximo artigo

O que são registros DNS?

Artigos relacionados

O que é uma meta description?

O que é conteúdo misto?

O que é lazy loading?

Ver todos os artigos

Verifique seu site WordPress agora

O InspectWP analisa seu site WordPress em busca de problemas de segurança, problemas de SEO, conformidade com GDPR e desempenho — gratuitamente.

Analise seu site grátis