Defaults.Exposed › Correções › Saúde do certificado TLS

Como corrigir Saúde do certificado TLS

O seu certificado SSL/TLS é o cartão de identidade digital que prova que um visitante está mesmo a falar com o seu site — e não com um impostor — e alimenta o cadeado no navegador. Esta verificação observa se esse certificado é válido e de confiança, se não está prestes a expirar e se foi construído com criptografia forte e moderna.

O essencial para o seu negócio: Um certificado avariado ou expirado substitui o seu site por um aviso vermelho de ecrã inteiro de «A sua ligação não é privada» em todos os navegadores. A maioria dos visitantes sai de imediato e não volta — as vendas online param, as inscrições param, e a ligação que era suposto ser privada pode ser intercetada em silêncio.

Quanto isto lhe pode custar

• O seu certificado expira em silêncio durante um fim de semana; na segunda-feira todos os visitantes batem num aviso de segurança de página inteira, o seu checkout e formulários de contacto estão mortos, e está a perder vendas a cada hora até reparar e renovar.
• Um cliente a pagar por Wi-Fi de café ou hotel recebe um aviso de que o seu certificado não corresponde ao seu domínio — assume que o seu site é falso ou foi pirateado, abandona a compra e diz aos outros que «parecia duvidoso».
• A equipa de TI de um cliente maior faz uma análise de segurança pré-contrato, vê um certificado autoassinado ou não confiável, e sinaliza-o como risco — o negócio estagna por algo que não custa nada corrigir.
• O seu certificado usa um método de assinatura desatualizado ou uma chave fraca; os navegadores modernos começam a mostrar avisos sobre ele, e uma auditoria de segurança baixa-lhe a nota por criptografia que saiu da lista recomendada há anos.
• Recebe pagamentos com cartão e o seu fornecedor de pagamentos volta a auditá-lo; uma chave fraca ou um certificado expirado quebra as regras de segurança de pagamentos e o seu checkout online fica congelado até ser corrigido.

Por que importa. O certificado é a peça mais visível da segurança do seu site — quando está saudável é invisível, e quando se avaria leva o seu site inteiro abaixo com um aviso assustador que manda os clientes direto para os concorrentes. A expiração do certificado é a causa número um de interrupções inesperadas de sites, e é inteiramente evitável. Obter um certificado válido é gratuito, e mantê-lo saudável é sobretudo uma questão de o deixar renovar-se automaticamente.

O que é isto, em palavras simples

Quando alguém visita o seu site, têm de acontecer duas coisas para que se sinta seguro a escrever uma palavra-passe ou um número de cartão. Primeiro, a ligação tem de estar encriptada para que estranhos não a possam ler. Segundo — e esta é a parte que as pessoas esquecem — o navegador do visitante tem de ter a certeza de que é mesmo o seu site do outro lado, e não um impostor que montou uma falsificação convincente. A coisa que faz os dois trabalhos é o seu certificado TLS (muitas vezes chamado «certificado SSL»).

Pense nele como um cartão de identidade à prova de adulteração para o seu domínio. Uma autoridade reconhecida emite-o, está carimbado com o seu nome de domínio e uma data de expiração, e carrega a chave criptográfica que baralha a ligação. Quando tudo bate certo, o navegador mostra o cadeado e o seu site carrega normalmente. Quando há algo errado com o cartão de identidade, o navegador faz o oposto de tranquilizar o seu visitante — lança um aviso de ecrã inteiro que diz, na prática, «este site pode não ser seguro».

Esta verificação observa a saúde desse cartão de identidade em quatro pontos que, cada um por si, o quebram:

• É válido e de confiança? — emitido por uma autoridade reconhecida, a corresponder ao seu domínio exato, não autoassinado e não expirado.
• Está prestes a expirar? — porque um certificado que caduca leva o seu site inteiro abaixo.
• Está assinado com um método forte? — algoritmos de assinatura antigos podem ser forjados.
• A sua chave é suficientemente forte? — uma chave fraca pode, em princípio, ser quebrada.

A boa notícia já a seguir: obter um certificado saudável é gratuito, e mantê-lo saudável é sobretudo deixá-lo renovar-se automaticamente para que nenhum humano tenha de se lembrar.

Quanto isto lhe pode custar

• A interrupção de fim de semana. Um certificado chega em silêncio à sua data de expiração ao final de uma sexta-feira. A renovação que era suposto correr não correu (um servidor mudou, um script avariou, ninguém reparou). No sábado de manhã todos os visitantes — e todos os rastreadores do Google — veem um aviso vermelho de página inteira em vez da sua página inicial. A sua loja está fechada e nem sabe. A correção técnica leva minutos; o fim de semana de vendas perdido e os clientes que decidiram que tinha «fechado portas» não voltam.

• O checkout abandonado. Um cliente está a comprar pelo telemóvel numa Wi-Fi de hotel. O seu certificado não corresponde bem ao domínio que escreveu (digamos que cobre loja.suaempresa.com mas não o suaempresa.com nu que ele usou). O navegador avisa-o de que o site «pode estar a imitar» o seu. Para um comprador não técnico isto lê-se como burla — fecha o separador, e você nunca sabe que a venda existiu.

• O contrato estagnado. A equipa de segurança de um potencial cliente maior faz uma análise de rotina antes de assinar. O resultado mostra um certificado autoassinado ou não confiável num dos seus subdomínios. Mesmo que tudo o resto esteja bem, esse único sinal vermelho transforma uma aprovação rápida num vaivém que atrasa o negócio — por um problema que não custa nada corrigir.

• O aviso em câmara lenta. O seu certificado é tecnicamente válido mas assinado com SHA-1, um método antigo que os navegadores andam a eliminar. Uma atualização de navegador depois, uma parte dos seus visitantes começa a ver avisos que não consegue reproduzir na sua própria máquina atualizada. Os pedidos de suporte vão pingando a dizer que o site «parece avariado» e não percebe porquê.

• A falha de conformidade. Recebe pagamentos com cartão. Durante uma reauditoria, as verificações do seu fornecedor sinalizam uma chave fraca ou um certificado que caducou. As regras de segurança de cartão exigem encriptação forte e atual — por isso os seus pagamentos online ficam suspensos até reemitir, congelando a receita no pior momento possível.

O que é na realidade (as quatro partes)

Um certificado pode estar pouco saudável de quatro formas distintas, e esta página cobre-as todas. Cada uma é uma verificação separada por baixo do capô, mas para si são todas «o meu certificado está bem?».

1. Válido e de confiança

Esta é a grande — e a única parte da saúde do certificado que é uma verificação crítica, de peso máximo. Um certificado é «válido e de confiança» só quando todas estas são verdadeiras:

• Foi emitido por uma autoridade de certificação reconhecida em que os navegadores já confiam (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, etc.).
• Corresponde ao domínio exato que o visitante usa — incluindo subdomínios. Um certificado para www.suaempresa.com que não cubra também suaempresa.com vai avisar no domínio nu.
• Não é autoassinado — ou seja, não é um que emitiu a si próprio, que encripta mas nada prova sobre quem é.
• Está atualmente dentro da sua janela de datas — não expirado, e não (estranho, mas acontece) datado para começar no futuro.
• A sua cadeia de confiança está intacta — a autoridade que o assinou é ela própria confiável, até ao topo.

Se qualquer uma destas falhar, os navegadores mostram a temida página «A sua ligação não é privada», e esta verificação falha redondamente. Bom tem o aspeto de: um certificado de uma autoridade reconhecida, a cobrir todos os domínios e subdomínios que realmente usa, confortavelmente dentro das suas datas.

2. Não está prestes a expirar

Todo o certificado tem uma data de fim rígida. Os gratuitos costumam durar 90 dias; os pagos muitas vezes um ano. Passada a data, a confiança evapora-se de imediato — não há período de cortesia. Esta verificação mede quantos dias faltam e como isso interage com quem o emitiu:

• Se já estiver expirado, ou expirar em menos de 7 dias, é tratado como crítico — um sinal de que a renovação falhou.
• Se expirar em 30 dias e não for gerido automaticamente, é um aviso para renovar já.
• Se for de um fornecedor de renovação automática (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL e semelhantes) com pelo menos uma semana de margem, passa — porque é esperado que se renove sozinho antes do prazo.
• Bastante margem (90+ dias, ou gerido automaticamente) é uma passagem limpa.

Bom tem o aspeto de: um certificado gerido automaticamente que se renova sozinho sem ninguém lhe tocar. A forma mais fiável de nunca ter uma interrupção por expiração é fazer uma máquina, e não uma pessoa, responsável pela renovação.

3. Algoritmo de assinatura forte

Todo o certificado é «assinado» usando um algoritmo criptográfico que permite aos navegadores detetar adulteração. Algoritmos antigos — MD5 e SHA-1 — provaram ser forjáveis, o que significa que um atacante poderia em princípio criar um certificado fraudulento que parece legitimamente seu. Esta verificação passa quando o certificado usa uma assinatura forte e moderna: SHA-256 ou mais forte (SHA-384, SHA-512), ECDSA moderno, ou Ed25519/Ed448. MD5 e SHA-1 falham. Bom tem o aspeto de: SHA-256 ou melhor — que é o padrão em todos os certificados gratuitos e modernos, por isso raramente é um problema em algo emitido nos últimos anos.

4. Chave forte

O certificado carrega uma chave criptográfica que faz o baralhamento propriamente dito. Se essa chave for demasiado curta, o poder de computação moderno pode — dados recursos suficientes — quebrá-la, permitindo a um atacante imitar o seu site ou desencriptar tráfego. Os mínimos aceites são RSA de 2048 bits ou curva elíptica (EC) de 256 bits. Esta verificação passa nesses tamanhos ou acima e falha abaixo deles. Bom tem o aspeto de: RSA de 2048 bits (ou 4096 bits), ou uma chave EC de 256 bits como a P-256 — de novo, o padrão nos certificados gratuitos modernos.

Uma nota sobre os últimos três: válido-e-de-confiança é o crítico que aciona a página de aviso. A força da assinatura e da chave são sobre preparação para o futuro e auditorias — um certificado gratuito recente quase sempre passa neles automaticamente, mas são as coisas que uma revisão de segurança verifica, por isso vale a pena acertá-las.

Como corrigir (gratuito, ~15 minutos)

Entregue esta secção a quem gere o seu site ou alojamento — a correção é gratuita. Um certificado válido, forte e de renovação automática não custa nada através da Let’s Encrypt ou de qualquer alojamento moderno. Só cobramos para monitorizar que se mantém saudável ao longo do tempo, não para o corrigir. Se não tem um técnico de TI, as notas de plataforma abaixo levam a maioria dos donos lá.

Passo 1 — Obtenha (ou substitua) o certificado por um gratuito e de confiança. Este único passo corrige a validade, a assinatura e a força da chave de uma só vez, porque os certificados gratuitos modernos usam SHA-256 e chaves fortes por omissão.

• Cloudflare: em SSL/TLS → Overview, defina o modo para Full (Strict). A Cloudflare emite e renova automaticamente um certificado de borda de confiança por si; garanta que o seu servidor de origem também tem um certificado válido para que o «Strict» funcione.
• Alojamento Google Workspace / Microsoft 365 ou qualquer alojamento cPanel: procure SSL/TLS Status e execute o AutoSSL. Ele aprovisiona e renova certificados gratuitos automaticamente.
• Construtores de sites (Squarespace, Wix, Shopify, alojamentos WordPress modernos): o SSL costuma estar ligado por omissão — confirme que está ativado nas suas definições de domínio/segurança, e que cobre tanto suaempresa.com como www.suaempresa.com.
• O seu próprio servidor Linux (Nginx/Apache): instale o Let’s Encrypt com o Certbot — sudo certbot --nginx -d suaempresa.com -d www.suaempresa.com (ou --apache). Para uma chave EC moderna, adicione --key-type ecdsa. Liste todos os nomes de host que serve com -d para que o certificado corresponda a todos.

Passo 2 — Torne a renovação automática para que nunca mais expire. Este é o passo que evita o cenário da interrupção de fim de semana.

• Num servidor Let’s Encrypt, confirme que o temporizador de renovação está ativo e teste-o: sudo certbot renew --dry-run. O Certbot normalmente instala um temporizador automático; se não, adicione uma tarefa cron diária: 0 3 * * * certbot renew --quiet.
• Na Cloudflare, no AutoSSL do cPanel e em alojamentos geridos/construtores de sites, a renovação é tratada por si — não há nada a agendar.

Passo 3 — Garanta que cobre os nomes certos. A causa mais comum de «válido mas com aviso» é uma incompatibilidade de nome. O certificado tem de cobrir todos os nomes de host que os clientes realmente usam — o domínio nu, o www, e quaisquer subdomínios como loja. ou app.. Ao gerar um certificado, inclua cada um (um wildcard como *.suaempresa.com cobre todos os subdomínios de uma vez).

Passo 4 — Se só a força da assinatura ou da chave estiver sinalizada, basta reemitir. Não precisa de comprar nada: gere um certificado novo (Passo 1) e o novo vai usar SHA-256 e uma chave forte automaticamente. No seu próprio servidor pode fixar uma chave moderna explicitamente — ex.: openssl ecparam -genkey -name prime256v1 -out server.key para EC, ou openssl genrsa -out server.key 4096 para RSA — e depois reemitir.

Passo 5 — Verifique, depois volte a verificar aqui. Confirme as datas, o emissor e a chave com um comando rápido — echo | openssl s_client -servername suaempresa.com -connect suaempresa.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — e depois execute novamente esta verificação.

Erros comuns

• Tratar «instalámos SSL uma vez» como concluído. Os certificados expiram a um relógio. Sem renovação automática, a questão não é se caduca mas quando — normalmente no momento menos conveniente.
• Cobrir www mas não o domínio nu (ou vice-versa). Ambos têm de estar no certificado, ou um deles lança um aviso de incompatibilidade de nome. A mesma armadilha apanha novos subdomínios adicionados mais tarde.
• Deixar um certificado autoassinado num subdomínio «de teste» que é na verdade público. Encripta, por isso parece seguro — mas os navegadores (e os analisadores de segurança) tratam-no como não confiável, e é um clássico sinal vermelho de auditoria.
• Assumir que pago significa mais seguro. Um certificado Let’s Encrypt gratuito é exatamente tão confiável e encriptado como um caro. Pagar mais não faz um cadeado mais forte.
• Renovar o certificado mas esquecer recarregar o servidor. Um certificado novo pousado em disco não faz nada até o servidor web ser recarregado para o captar — uma causa surpreendentemente comum de «renovei-o mas continua a mostrar expirado».
• Renovação automática que falhou em silêncio. Uma tarefa de renovação pode avariar (um ficheiro movido, uma alteração de DNS, uma porta bloqueada) e continuar a «ter sucesso» em silêncio. Monitorizar a data de expiração — e não só a tarefa de renovação — é o que realmente apanha isto antes de morder.

Perguntas frequentes