Defaults.Exposed

Defaults.Exposed › Relatórios

Expirados, Autoassinados, Inválidos: O Relatório de Erros de Certificados (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados do censo sobre os 197 milhões de domínios que apresentam um certificado TLS. “Inválido” = o certificado não passa na validação (expirado, autoassinado, nome de host errado ou cadeia não confiável). Veja como avaliamos.

Ter um certificado não é o mesmo que ter um válido: 8,57% dos certificados na web não passam na validação. Entre os 197 milhões de domínios que apresentam um certificado TLS, 16.920.535 têm um em que os navegadores não confiam — e cada um deles mostra aos visitantes um aviso de segurança em tela cheia em vez do site. Na era dos certificados gratuitos que se renovam automaticamente, um certificado quebrado é quase sempre um erro corrigível, não um problema de custo.

O que realmente está errado nesses certificados

Um certificado não passa na validação por um punhado de razões — expirado, autoassinado, emitido para um nome de host diferente ou proveniente de uma cadeia não confiável. A categoria mais identificável do censo é, de longe, autoassinado:

ProblemaDomínios
Certificado presente mas inválido (qualquer razão)16.920.535 (8,57%)
— dos quais autoassinados3.378.080 (20,0% dos inválidos)

Um certificado autoassinado é um que o próprio domínio emitiu para si mesmo — ele criptografa o tráfego mas não prova nada, então os navegadores o rejeitam. É comum em dispositivos, ferramentas internas e ambientes de homologação que foram expostos à internet pública por acidente. Os demais certificados inválidos estão, na maioria, expirados ou com nome de host incompatível.

Por que um certificado quebrado é pior que não ter HTTPS

Um site sem HTTPS recebe um discreto rótulo “Não seguro”. Um site com um certificado quebrado recebe um interstitial vermelho em tela cheia — “A sua ligação não é privada” — pelo qual a maioria dos visitantes não vai clicar adiante. É o sinal de confiança mais severo que um navegador mostra, e ele dispara antes de o seu conteúdo carregar. Para um negócio, isso é uma porta fechada no momento do primeiro contato.

Também é evitável: como as ACs gratuitas e a renovação automatizada agora emitem a grande maioria dos certificados, um certificado válido não custa nada e se renova sozinho. Os 8,57% com certificados quebrados são quase todos lacunas de configuração, não de orçamento.

Como corrigir um erro de certificado

  1. Expirado? Automatize a renovação (ACME / Let’s Encrypt) para que nunca mais caduque. Corrigir erros de certificado.
  2. Autoassinado? Substitua-o por um certificado gratuito emitido por uma AC — certificados autoassinados sempre vão avisar nos navegadores.
  3. Nome de host errado? Reemita cobrindo exatamente os nomes que você serve (incluindo www).
  4. Verifique se a cadeia está completa e é confiável e, em seguida, confirme com uma nova verificação.

Perguntas frequentes

Por que um certificado se torna inválido? Na maioria das vezes ele expirou, é autoassinado, foi emitido para um nome de host diferente ou vem de uma cadeia não confiável. Em 2026-06-29, 8,57% dos certificados não passam na validação por uma dessas razões.

O que é um certificado autoassinado? Um que o servidor emitiu para si mesmo em vez de obtê-lo de uma AC confiável. Ele criptografa mas não prova nenhuma identidade, então os navegadores o rejeitam. 3.378.080 domínios apresentam um.

Um certificado quebrado é pior que não ter HTTPS? Sim — um certificado quebrado dispara um aviso do navegador em tela cheia que bloqueia o site, ao passo que o HTTP simples recebe um rótulo em linha mais brando de “Não seguro”.

Quanto custa corrigir? Nada. Certificados válidos são gratuitos (Let’s Encrypt e outros) e se renovam automaticamente. É uma correção de configuração.

Verifique se o seu certificado é válido

Um certificado que os navegadores rejeitam está custando visitantes neste exato momento. Verifique o seu de forma gratuita e privada.

Verifique o seu domínio → · Corrigir erros de certificado → · Quem emite os certificados da web? → · Por que o meu site diz “Não seguro”? → · Apenas dados agregados. Dados armazenados e processados na UE.