O que é um certificado SSL?
Um certificado SSL/TLS é um documento digital, assinado por uma autoridade certificadora (CA) confiável, que vincula uma chave pública a um ou mais nomes de host. Quando um cliente se conecta, o servidor apresenta o certificado como parte do handshake TLS e o cliente verifica a assinatura da CA, a janela de validade e se um dos nomes listados corresponde ao host pretendido.
Apesar do nome herdado, os certificados modernos usam o protocolo TLS (TLS 1.2 e TLS 1.3 hoje) e não mais o SSL legado. O formato X.509 e a cadeia PKI são definidos em RFC 5280, com o comportamento específico de HTTPS em RFC 2818.
Por que verificar seu certificado SSL?
1Evite expirações surpresa
Todo navegador e cliente de e-mail moderno quebra no momento em que um certificado vence — acompanhe os dias restantes proativamente
2Confirme a cobertura de hosts
Um certificado só é válido para os nomes na lista SAN — verifique cada subdomínio servido
3Detecte cadeias não confiáveis
Certificados autoassinados ou de CA desconhecida disparam avisos no navegador — descubra antes que seus usuários
4Audite STARTTLS no e-mail
Os provedores esperam que endpoints MX negociem TLS sem falhas — um certificado quebrado degrada silenciosamente a entregabilidade
Como funciona a verificação SSL passo a passo
Um cliente abre uma conexão TLS com o seu domínio e envia um ClientHello.
Seu servidor devolve a cadeia de certificados: o certificado folha + quaisquer certificados intermediários.
O cliente sobe a cadeia até chegar a uma CA raiz confiável instalada em seu armazenamento.
Verifica cada assinatura, confere se cada certificado está dentro da validade e se nenhum foi revogado.
Por fim, confirma que a lista SAN do certificado folha contém o host que o cliente quer alcançar.
Se todas as etapas passam, o handshake conclui e a chave de sessão é trocada.
Campos do certificado num relance
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null \
| openssl x509 -noout -textCampos principais do certificado
Issuer— autoridade certificadora que assinou o certSubject CN— nome de host principal herdadoSAN— lista moderna de hosts válidosNot Before / After— janela de validadeKey Usage— operações permitidas (auth de servidor etc.)Falhas comuns de SSL e soluções
Certificado expirado
Renove imediatamente e configure monitoramento — a maioria dos times alerta com 30 dias restantes
O nome de host não corresponde
O host testado não está na SAN — reemita com o nome ausente ou um wildcard correto
Certificado autoassinado
Os navegadores rejeitam — migre para um certificado gratuito da Let's Encrypt ou um gerenciado pelo seu CDN
Cadeia incompleta
Se faltam intermediários, alguns clientes não verificam a cadeia — agrupe-os com o folha na configuração do servidor
Perguntas Frequentes
Um verificador SSL/TLS confirma que um domínio entrega um certificado válido de uma autoridade certificadora confiável, que os Subject e Subject Alternative Names cobrem o host testado, que o certificado está dentro da janela de validade atual e que não é autoassinado. Essas verificações, juntas, provam que um navegador ou cliente de e-mail confiará na conexão.
Quando um certificado expira, todos os navegadores exibem um aviso de segurança e a maioria dos clientes de e-mail modernos recusa o STARTTLS. Deixar um SSL vencer quebra ao mesmo tempo o tráfego web e o envio autenticado de e-mail. Monitorar os dias restantes dá margem para renovar — a maioria dos times alerta abaixo de 30 dias.
A inconsistência de host ocorre quando a lista SAN do certificado não contém exatamente o nome testado. Causas comuns: testar um subdomínio www contra um certificado só do apex, falta de wildcard para sub-subdomínios, ou servir o vhost errado em um IP compartilhado. Reemita o certificado com as entradas SAN corretas.
Sim, de forma indireta. Provedores de e-mail esperam que endpoints MX, envio SMTP e domínios de tracking negociem TLS com sucesso. Um certificado quebrado ou vencido força um rebaixamento para texto plano ou uma falha de entrega, o que diminui a reputação ao longo do tempo. Manter todos os domínios relacionados a e-mail com cadeado verde faz parte de uma autenticação saudável.
Reemita o certificado por meio do seu provedor de hospedagem ou autoridade certificadora, ou ative a renovação automática com um serviço como Let's Encrypt para evitar lapsos futuros. Após instalar o novo certificado, execute um verificador de SSL para confirmar que a data de expiração e a cadeia de certificados estão válidas.
Um certificado expirado na sua infraestrutura de envio pode quebrar conexões TLS e comprometer os sinais de confiança que os receptores buscam, o que pode prejudicar a entregabilidade. Manter os certificados válidos no seu servidor de e-mail e nos sites vinculados aos seus e-mails ajuda a proteger tanto a sua reputação quanto a confiança dos destinatários.