Defaults.Exposed › Relatórios
TLS fraco e desatualizado: o seu site ainda serve encriptação antiga? (2026)
Publicado 2026-07-01
Valores de 2026-06-29 · metodologia v7. Dados agregados do censo em 261 milhões de domínios avaliados; os valores de versão de TLS correspondem à quota de domínios acessíveis por HTTPS. O TLS é o protocolo por detrás do cadeado; «fraco» significa versões ou cifras antigas em que os navegadores e os auditores já não confiam. Veja como avaliamos.
A web deixou em grande medida para trás a encriptação antiga — mas um cadeado forte não está garantido, e o elo fraco hoje é mais frequentemente o certificado do que o protocolo. Entre os sites acessíveis por HTTPS, 90,51% já negoceiam o moderno TLS 1.3 e a grande maioria dos restantes usa TLS 1.2. Portanto, versões de protocolo fracas são a exceção, não a regra. Onde o «TLS fraco» ainda morde é mais subtil: servidores que, discretamente, continuam a aceitar versões antigas, cifras fracas e — mais frequentemente — certificados que estão simplesmente inválidos. Eis como saber se é a exceção.
O que significa «TLS fraco» em 2026
- Versões de protocolo obsoletas. O TLS 1.0 e o 1.1 foram descontinuados em 2021. Como versão negociada são agora raros — mas um servidor pode assumir por omissão o TLS 1.3 e, ainda assim, aceitar um downgrade para 1.0 quando lho pedem, algo que as auditorias assinalam.
- Conjuntos de cifras fracos. Algoritmos antigos (RC4, 3DES, cifras de exportação) e a ausência de forward secrecy enfraquecem uma ligação mesmo numa versão moderna.
- Um certificado inválido. Este é o mais comum: a força da encriptação e a validade do certificado são coisas distintas, e um handshake TLS 1.3 válido com um certificado inválido continua a mostrar um aviso aos visitantes. 8,21% dos domínios que apresentam um certificado servem um inválido — veja o meu certificado expirou.
Onde a web realmente se encontra
Melhor versão de TLS negociada, quota de domínios acessíveis por HTTPS, de 2026-06-29:
| Melhor versão de TLS | Quota |
|---|---|
| TLS 1.3 (atual) | 90,51% |
| TLS 1.2 (patamar aceitável) | 5,38% |
| TLS 1.1 / 1.0 (descontinuados) | 0,00% |
Do ponto de vista do protocolo, o quadro é saudável. A lacuna está agora noutro lado: 8,21% dos certificados são inválidos, e apenas 78,02% de todos os domínios servem HTTPS — ou seja, um quinto da web nem sequer está encriptado à partida.
Porque continua a ser importante, mesmo com a maioria dos sites em boa forma
- Requisitos de conformidade. A PCI-DSS, muitos questionários de segurança e as referências governamentais exigem TLS 1.2+ e que as versões antigas e as cifras fracas estejam ativamente desativadas — e não meramente não usadas por omissão. Veja o que os questionários verificam.
- Exposição a downgrade. Se um servidor ainda aceita uma versão antiga, um atacante pode tentar forçar uma ligação mais fraca do que qualquer das partes pretendia.
- Risco silencioso. Um TLS fraco mas presente e uma cifra antiga ainda aceite raramente despoletam um aviso no navegador, por isso sobrevivem até alguém verificar ativamente.
Como garantir que o seu TLS é forte
- Defina a versão mínima como TLS 1.2 e ative o TLS 1.3 no servidor ou na CDN — e confirme que as versões antigas são recusadas, e não apenas não usadas. Veja corrigir o TLS.
- Modernize as cifras — prefira conjuntos com forward secrecy; elimine o RC4, o 3DES e as cifras de nível de exportação.
- Mantenha o certificado válido — a falha mais comum. Veja corrigir erros de certificado.
- Force o HTTPS e adicione o HSTS para que os downgrades para HTTP simples sejam recusados.
- Volte a testar a partir do exterior — o TLS fraco é invisível num navegador, por isso confirme com uma verificação externa.
Perguntas frequentes
O meu TLS está desatualizado? Provavelmente não em termos de versão — 90,51% dos sites HTTPS usam TLS 1.3. A fraqueza mais provável é um problema de certificado (8,21% dos certificados são inválidos) ou um servidor que ainda aceita versões antigas por detrás de uma configuração moderna por omissão.
O TLS 1.2 ainda é aceitável? Sim — o TLS 1.2 é um patamar aceitável e o TLS 1.3 é preferível. A preocupação é qualquer coisa abaixo de 1.2 continuar a ser aceite.
Desativar o TLS antigo vai afetar os visitantes mais antigos? Muito poucos clientes modernos precisam de TLS 1.0/1.1; o custo de compatibilidade é agora mínimo face ao benefício de conformidade e segurança.
O TLS fraco mostra um aviso no navegador? Um protocolo ou cifra fracos normalmente não — surgem em auditorias e análises. Um certificado inválido, por outro lado, avisa os visitantes diretamente.
Corrigir isto é gratuito? Sim — é uma alteração de configuração no servidor ou na CDN, não uma compra.
Verifique a sua configuração de TLS gratuitamente
Veja as suas versões de TLS, a força das cifras e o estado do certificado — de forma privada e só para o proprietário.
Verifique o seu domínio → · Corrigir o TLS → · Porque é que o meu site diz «Não seguro»? → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.