Verificador de Certificado SSL
Verifique a validade do certificado SSL/TLS, data de validade e detalhes da cadeia de certificados online
Digite um nome de domínio e clique em "Verificar" para ver as informações do certificado SSL
O que é o Verificador de Certificado SSL?
O verificador de certificado SSL analisa se o certificado TLS de um site é válido, corresponde ao domínio solicitado, possui cadeia correta e não está perto de expirar. Isso importa porque HTTPS não é apenas um cadeado no navegador: afeta transporte criptografado, identidade do servidor, confiança do usuário, SEO, pagamentos, integrações de API e clientes automatizados. A ferramenta ajuda em operação, implantação, auditoria de segurança e triagem de incidentes ao mostrar datas, emissor, nomes cobertos, cadeia de certificados e sinais de protocolo. Problemas comuns incluem renovações esquecidas, intermediários ausentes, subdomínios sem cobertura ou certificado instalado no ambiente errado.
Como Usar
Como usar
- Insira o domínio que deseja verificar (ex.: google.com)
- A porta padrão é 443. Altere-a se necessário para configurações especiais
- Clique no botão 'Check' ou pressione Enter para iniciar a verificação
- Veja a validade do certificado, data de expiração, versão do protocolo TLS e muito mais
- Expanda a cadeia de certificados para ver informações detalhadas de cada certificado, incluindo emissor, algoritmo de assinatura, SANs, etc.
Dicas sobre Certificados
- Verifique o hostname exato que os usuários acessam, incluindo subdomínios, pois um certificado pode ser válido para um nome e incompatível com outro.
- Execute verificações após alterações de DNS, CDN, balanceador de carga ou renovação; as cadeias de certificados podem diferir entre ambientes mesmo sendo o mesmo domínio.
Casos de uso
Princípio técnico
Os certificados SSL/TLS seguem o padrão X.509. Cada certificado contém os seguintes campos-chave: Subject (o domínio ou organização do titular), Issuer (a CA emissora), Validity (datas Not Before / Not After), Subject Public Key Info (chave pública e algoritmo), Signature Algorithm (como SHA256-RSA ou ECDSA-SHA256) e extensões X509v3 (das quais a mais importante é a extensão Subject Alternative Name). Durante o handshake TLS, o servidor envia sua cadeia em ordem: certificado folha -> certificado(s) intermediário(s) -> certificado raiz (que está embutido no navegador e não precisa ser enviado). O cliente começa no folha, verifica em cada nível que o Issuer corresponde ao Subject do pai, usa a chave pública do pai para verificar a assinatura do filho, verifica a janela de validade e, por fim, rastreia até uma raiz confiável. A Let's Encrypt emite certificados válidos por apenas 90 dias, projetados para serem usados com automação como o certbot; certificados comerciais geralmente duram de 1 a 3 anos. SNI (Server Name Indication) permite que um único IP hospede múltiplos sites HTTPS: o cliente envia primeiro a extensão SNI durante o handshake para informar ao servidor o hostname alvo, e o servidor retorna o certificado correspondente. OCSP (Online Certificate Status Protocol) permite consultas em tempo real sobre se um certificado foi revogado, evitando a necessidade de baixar listas CRL volumosas.
- Campos do certificado X.509: Subject (titular), Issuer, Validity, Public Key, Signature Algorithm e a extensão SAN
- Validação da cadeia de certificados: começa no folha, verifica a correspondência Issuer -> Subject nível a nível, verifica a assinatura do filho com a chave pública do pai e, por fim, rastreia até uma raiz confiável
- Certificados Let's Encrypt têm validade padrão de 90 dias, combinados com certbot e ferramentas semelhantes para renovação automática; certificados comerciais geralmente duram de 1 a 3 anos
- SNI (Server Name Indication) permite que um único IP hospede múltiplos sites HTTPS; o cliente declara o hostname alvo durante o handshake e recebe o certificado correspondente
- OCSP é usado para verificações de revogação em tempo real, evitando o download de CRLs volumosas; as principais CAs também implementam OCSP Stapling
- Certificados expirados, algoritmos de assinatura fracos (SHA-1) e comprimento de chave insuficiente (RSA abaixo de 2048 bits) acionam avisos de segurança em navegadores modernos
Exemplos
Verificar o certificado do GitHub
github.com — emissor DigiCert TLS Hybrid ECC SHA384, 67 dias restantes, protocolo TLS 1.3, SAN inclui github.com e *.github.comVerificar o certificado do Google
google.com — emissor WR2 (Google Trust Services), 84 dias restantes, SAN inclui *.google.com e google.comVerificar seu próprio certificado
blog.example.com — emissor Let's Encrypt R10, 23 dias restantes (renovar em breve), algoritmo de assinatura ECDSA-SHA256Perguntas frequentes
O que a verificação de certificado mostra?
A cadeia completa do certificado (folha, intermediários, raiz), datas de validade, a CA emissora, o Common Name do sujeito e os Subject Alternative Names, o algoritmo de assinatura, tipo/tamanho da chave pública, número de série e se a cadeia corresponde a uma raiz confiável. Nosso backend conecta ao host na porta 443 e reporta a cadeia que vê.
Posso verificar certificados em portas diferentes da 443?
Sim — especifique host:porta (ex.: example.com:8443). Algumas versões também verificam IMAP (993), SMTP (465/587), POP3 (995) e outras portas TLS. O protocolo precisa usar TLS puro ou STARTTLS suportado pela página.
O que significa 'expira em N dias'?
É a data notAfter no certificado. Após essa data, navegadores modernos se recusam a carregar o site. Configure renovação automática pelo menos 30 dias antes do vencimento. Certificados Let's Encrypt duram 90 dias — a maioria dos operadores renova automaticamente aos 60 dias.
Por que meu certificado parece válido aqui mas falha nos navegadores?
Causas comuns: ordem da cadeia errada (servidor envia intermediários na ordem errada); intermediário ausente (servidor envia apenas a folha); raiz não está no repositório de confiança do navegador (CA privada, CA governamental não inclusa); incompatibilidade de SNI (servidor retorna o certificado errado para seu hostname). A página normalmente sinaliza cada um desses problemas.
Qual é a diferença entre certificados DV, OV e EV?
Domain Validation (DV): apenas o controle do domínio é verificado. Organization Validation (OV): a existência da empresa é verificada. Extended Validation (EV): uma checagem empresarial mais minuciosa. Navegadores modernos exibem os três da mesma forma (apenas um cadeado); EV não ativa mais a barra de endereços verde na maioria dos navegadores desde 2019.
Posso verificar um certificado autoassinado ou de CA privada?
Sim. A página mostra o certificado mas o sinaliza como 'não confiável' porque a CA não está no repositório raiz público. Útil para inspecionar seus próprios certificados corporativos ou de teste.
Os dados do host são expostos?
A verificação conecta do nosso backend ao host na porta 443, como qualquer cliente TLS. O host registra essa conexão. Não execute isso contra hosts que proíbem varredura externa.