ToolActToolAct

Verificador de Certificado SSL

Verifique a validade do certificado SSL/TLS, data de validade e detalhes da cadeia de certificados online

Digite um nome de domínio e clique em "Verificar" para ver as informações do certificado SSL

O que é o Verificador de Certificado SSL?

O verificador de certificado SSL analisa se o certificado TLS de um site é válido, corresponde ao domínio solicitado, possui cadeia correta e não está perto de expirar. Isso importa porque HTTPS não é apenas um cadeado no navegador: afeta transporte criptografado, identidade do servidor, confiança do usuário, SEO, pagamentos, integrações de API e clientes automatizados. A ferramenta ajuda em operação, implantação, auditoria de segurança e triagem de incidentes ao mostrar datas, emissor, nomes cobertos, cadeia de certificados e sinais de protocolo. Problemas comuns incluem renovações esquecidas, intermediários ausentes, subdomínios sem cobertura ou certificado instalado no ambiente errado.

Como Usar

Como usar

  1. Insira o domínio que deseja verificar (ex.: google.com)
  2. A porta padrão é 443. Altere-a se necessário para configurações especiais
  3. Clique no botão 'Check' ou pressione Enter para iniciar a verificação
  4. Veja a validade do certificado, data de expiração, versão do protocolo TLS e muito mais
  5. Expanda a cadeia de certificados para ver informações detalhadas de cada certificado, incluindo emissor, algoritmo de assinatura, SANs, etc.

Dicas sobre Certificados

  • Verifique o hostname exato que os usuários acessam, incluindo subdomínios, pois um certificado pode ser válido para um nome e incompatível com outro.
  • Execute verificações após alterações de DNS, CDN, balanceador de carga ou renovação; as cadeias de certificados podem diferir entre ambientes mesmo sendo o mesmo domínio.

Casos de uso

Verificar a saúde do certificado HTTPS pelo backendInsira um domínio e uma porta para executar uma verificação de certificado SSL assinada pela API de rede. Somente o host:porta inserido é contatado, sem contato com outros endpoints ou hosts não relacionados durante a sonda. O resultado informa sucesso do handshake, protocolo, suite de criptografia, validade geral, estado de expiração, dias restantes e correspondência de domínio.
Inspecionar a cadeia de certificadosQuando o handshake é bem-sucedido, expanda cada certificado para ver subject, emissor, número de série, algoritmo de assinatura, datas de validade, entradas SAN e selos de autoassinado ou expirado. Isso é útil para diagnosticar cadeias intermediárias quebradas, identificar qual CA realmente emitiu o certificado folha e detectar um certificado incorreto implantado por engano.
Detectar problemas de renovação e hostname antecipadamenteO banner de status destaca certificados inválidos, expirados, prestes a expirar e incompatibilidades de domínio. É útil antes de mudanças de DNS, migrações de CDN, alterações de balanceador de carga e verificações rotineiras de renovação. Compare a contagem regressiva de expiração com a janela de automação de renovação (Let's Encrypt de 90 dias, comerciais de 1 a 3 anos) antes que o aviso do navegador apareça.
Verificar cobertura SAN durante migrações de subdomínioApós o handshake, a lista SAN mostra cada hostname para o qual o certificado é válido. Compare-a com seu inventário de subdomínios antes de migrar o DNS para um novo host, pois um certificado curinga pode não cobrir hosts de staging internos ou subdomínios regionais, e um SAN multidomínio pode ter perdido uma entrada durante a reemissão. Navegadores modernos ignoram o campo Subject CN legado para correspondência de hostname e dependem apenas da extensão SAN, então um certificado com CN correto mas SAN ausente ainda causará erro de incompatibilidade de domínio no Chrome, Firefox e Safari, mesmo que verificadores mais antigos possam reportá-lo como válido.
Validar a cadeia intermediária após migração de CAAo trocar de Autoridade Certificadora ou migrar para uma nova origem, expanda cada certificado na cadeia para inspecionar o emissor, o algoritmo de assinatura (ex.: SHA-1 vs SHA-256) e as datas de validade. Um pacote intermediário incomum é uma causa comum de falhas de handshake em Linux mas não em macOS, então verifique o pacote a partir da mesma classe de cliente que seus usuários utilizarão. A cadeia deve estar ordenada como folha -> intermediário(s) -> raiz, e raizes não precisam ser transmitidas pois estão incluídas no armazenamento de confiança do cliente; o OCSP stapling, quando habilitado, anexa um objeto de status de revogação atualizado ao handshake TLS para que o cliente não precise chamar o respondedor OCSP da CA por conta própria.

Princípio técnico

Os certificados SSL/TLS seguem o padrão X.509. Cada certificado contém os seguintes campos-chave: Subject (o domínio ou organização do titular), Issuer (a CA emissora), Validity (datas Not Before / Not After), Subject Public Key Info (chave pública e algoritmo), Signature Algorithm (como SHA256-RSA ou ECDSA-SHA256) e extensões X509v3 (das quais a mais importante é a extensão Subject Alternative Name). Durante o handshake TLS, o servidor envia sua cadeia em ordem: certificado folha -> certificado(s) intermediário(s) -> certificado raiz (que está embutido no navegador e não precisa ser enviado). O cliente começa no folha, verifica em cada nível que o Issuer corresponde ao Subject do pai, usa a chave pública do pai para verificar a assinatura do filho, verifica a janela de validade e, por fim, rastreia até uma raiz confiável. A Let's Encrypt emite certificados válidos por apenas 90 dias, projetados para serem usados com automação como o certbot; certificados comerciais geralmente duram de 1 a 3 anos. SNI (Server Name Indication) permite que um único IP hospede múltiplos sites HTTPS: o cliente envia primeiro a extensão SNI durante o handshake para informar ao servidor o hostname alvo, e o servidor retorna o certificado correspondente. OCSP (Online Certificate Status Protocol) permite consultas em tempo real sobre se um certificado foi revogado, evitando a necessidade de baixar listas CRL volumosas.

  • Campos do certificado X.509: Subject (titular), Issuer, Validity, Public Key, Signature Algorithm e a extensão SAN
  • Validação da cadeia de certificados: começa no folha, verifica a correspondência Issuer -> Subject nível a nível, verifica a assinatura do filho com a chave pública do pai e, por fim, rastreia até uma raiz confiável
  • Certificados Let's Encrypt têm validade padrão de 90 dias, combinados com certbot e ferramentas semelhantes para renovação automática; certificados comerciais geralmente duram de 1 a 3 anos
  • SNI (Server Name Indication) permite que um único IP hospede múltiplos sites HTTPS; o cliente declara o hostname alvo durante o handshake e recebe o certificado correspondente
  • OCSP é usado para verificações de revogação em tempo real, evitando o download de CRLs volumosas; as principais CAs também implementam OCSP Stapling
  • Certificados expirados, algoritmos de assinatura fracos (SHA-1) e comprimento de chave insuficiente (RSA abaixo de 2048 bits) acionam avisos de segurança em navegadores modernos

Exemplos

Verificar o certificado do GitHub

github.com — emissor DigiCert TLS Hybrid ECC SHA384, 67 dias restantes, protocolo TLS 1.3, SAN inclui github.com e *.github.com

Verificar o certificado do Google

google.com — emissor WR2 (Google Trust Services), 84 dias restantes, SAN inclui *.google.com e google.com

Verificar seu próprio certificado

blog.example.com — emissor Let's Encrypt R10, 23 dias restantes (renovar em breve), algoritmo de assinatura ECDSA-SHA256

Perguntas frequentes

O que a verificação de certificado mostra?

A cadeia completa do certificado (folha, intermediários, raiz), datas de validade, a CA emissora, o Common Name do sujeito e os Subject Alternative Names, o algoritmo de assinatura, tipo/tamanho da chave pública, número de série e se a cadeia corresponde a uma raiz confiável. Nosso backend conecta ao host na porta 443 e reporta a cadeia que vê.

Posso verificar certificados em portas diferentes da 443?

Sim — especifique host:porta (ex.: example.com:8443). Algumas versões também verificam IMAP (993), SMTP (465/587), POP3 (995) e outras portas TLS. O protocolo precisa usar TLS puro ou STARTTLS suportado pela página.

O que significa 'expira em N dias'?

É a data notAfter no certificado. Após essa data, navegadores modernos se recusam a carregar o site. Configure renovação automática pelo menos 30 dias antes do vencimento. Certificados Let's Encrypt duram 90 dias — a maioria dos operadores renova automaticamente aos 60 dias.

Por que meu certificado parece válido aqui mas falha nos navegadores?

Causas comuns: ordem da cadeia errada (servidor envia intermediários na ordem errada); intermediário ausente (servidor envia apenas a folha); raiz não está no repositório de confiança do navegador (CA privada, CA governamental não inclusa); incompatibilidade de SNI (servidor retorna o certificado errado para seu hostname). A página normalmente sinaliza cada um desses problemas.

Qual é a diferença entre certificados DV, OV e EV?

Domain Validation (DV): apenas o controle do domínio é verificado. Organization Validation (OV): a existência da empresa é verificada. Extended Validation (EV): uma checagem empresarial mais minuciosa. Navegadores modernos exibem os três da mesma forma (apenas um cadeado); EV não ativa mais a barra de endereços verde na maioria dos navegadores desde 2019.

Posso verificar um certificado autoassinado ou de CA privada?

Sim. A página mostra o certificado mas o sinaliza como 'não confiável' porque a CA não está no repositório raiz público. Útil para inspecionar seus próprios certificados corporativos ou de teste.

Os dados do host são expostos?

A verificação conecta do nosso backend ao host na porta 443, como qualquer cliente TLS. O host registra essa conexão. Não execute isso contra hosts que proíbem varredura externa.