Verificador de certificado SSL (validade e emissor)

Digite um domínio para ver a validade, o emissor, o SAN e a impressão digital do seu certificado SSL/TLS. Os dias restantes são exibidos com cores para você nunca perder uma renovação.

Dicas

  • Verifique a data de validade com bastante antecedência. Renovar de 2 a 4 semanas antes do vencimento dá uma margem caso surjam problemas no processo de renovação.
  • Certificados gratuitos como os do Let's Encrypt duram apenas 90 dias, por isso vale a pena checar aqui periodicamente se a renovação automática está realmente funcionando.
  • O cadeado do navegador só indica se um certificado é válido no momento; ele nunca mostra quantos dias restam, e é exatamente essa lacuna que esta ferramenta preenche.
  • O campo SAN (nomes alternativos do titular) pode listar vários nomes de host além do domínio principal, como um subdomínio www. Vale a pena conferir se não há domínios inesperados incluídos.
  • A impressão digital identifica um certificado de forma única. Comparar a impressão digital antes e depois de uma renovação é uma forma confiável de confirmar que a troca realmente ocorreu.

Perguntas frequentes

Depende da autoridade certificadora e do tipo de certificado. Certificados gratuitos como o Let's Encrypt duram apenas 90 dias, enquanto certificados comerciais pagos têm no máximo um ano (398 dias) segundo a política atual do CA/Browser Forum. O período máximo de validade vem diminuindo em todo o setor ao longo dos anos.

Os navegadores exibem um aviso como "Sua conexão não é particular", e a maioria dos visitantes sai do site imediatamente. Integrações de API e processamento de pagamentos também falham com erros de conexão, por isso renovar com antecedência é fundamental.

É um campo de extensão que permite que um único certificado cubra vários nomes de domínio ou subdomínios. Por exemplo, um certificado que cubra example.com e www.example.com listaria ambos no campo SAN.

Um certificado autoassinado é emitido pelo próprio proprietário do site, sem passar por uma autoridade certificadora terceirizada, por isso os navegadores não confiam nele e exibem um aviso. Se o "emissor" mostrado por esta ferramenta for uma autoridade certificadora real, o certificado foi verificado por um terceiro reconhecido.

Certificados gratuitos do Let's Encrypt e similares usam a mesma força de criptografia que os pagos. As diferenças estão principalmente no nível de validação da propriedade do domínio (DV/OV/EV) e no suporte disponível — não há diferença real na segurança da criptografia entre gratuitos e pagos.
ツールくん

Curiosidade — Uma breve história dos certificados SSL/TLS e das autoridades certificadoras

As conexões HTTPS que usamos todos os dias têm origem no SSL (Secure Sockets Layer), desenvolvido pela Netscape em 1994. A primeira versão, SSL 2.0, tinha vulnerabilidades graves, e depois do SSL 3.0 o protocolo foi padronizado como TLS (Transport Layer Security) 1.0 em 1999. O nome mudou, mas o design básico — criptografar o tráfego usando criptografia de chave pública baseada em certificados — permanece até hoje.

As autoridades certificadoras (CAs) verificam se o solicitante realmente controla um domínio antes de emitir um certificado assinado. Antigamente, obter um certificado custava dinheiro e trabalho, mas isso mudou drasticamente em 2016, quando a organização sem fins lucrativos ISRG lançou o Let's Encrypt, uma CA gratuita. Seus certificados são válidos por apenas 90 dias, o que na prática exige ferramentas de renovação automática, como o certbot, em qualquer implantação real.

Um certificado expirado não se limita a um aviso assustador no navegador — pode se transformar em uma interrupção séria do serviço. Já houve casos repetidos e amplamente divulgados de grandes serviços de API e até instituições financeiras importantes ficarem fora do ar por horas por esquecerem de renovar um certificado, o que mostra que o monitoramento contínuo é uma necessidade operacional, não uma tarefa pontual.