logo
GeekFormat

Verificador de Certificados SSL

Sonda de certificado

Iniciar handshake TLS diretamente do servidor, ler certificado, negociar protocolo e validade restante.

Verifique certificados SSL/TLS online. Digite um domínio para visualizar validade do certificado, correspondência de domínio, dias restantes, versão TLS, conjuntos de cifra e lista SAN. O handshake é iniciado pelo backend sem problemas de CORS.

Sugestões Relacionadas

Casos de uso

  • Verificar rapidamente se HTTPS funciona corretamente antes do lançamento do site ou após renovação de certificado
  • Alertas de expiração de certificado: Verificar periodicamente os dias restantes para evitar interrupções de acesso por expiração inesperada
  • Resolver erros HTTPS do navegador: Localizar se é expiração, incompatibilidade de domínio ou problema de cadeia de certificados
  • Verificar se certificados de nós de borda são carregados corretamente após implantação de CDN/proxy reverso
  • Verificar se versões do protocolo TLS e conjuntos de cifra atendem aos requisitos de conformidade de segurança
  • Verificar se a lista SAN cobre todos os domínios alvo após implantação de certificados multidomínio

Recursos

  • Handshake TLS de backend: Inicia conexão TLS diretamente do servidor, sem restrições CORS do navegador, pode verificar qualquer domínio público
  • Julgamento instantâneo do status de autorização: Validade do certificado, correspondência de domínio, informações de erro de autorização em um relance
  • Alertas de cor de dias restantes: >30 dias verde, 7-30 dias amarelo, <7 dias vermelho para julgamento rápido do momento de renovação
  • Visão geral da configuração central: Versão do protocolo TLS, conjunto de cifra (Cipher), resultados de negociação do protocolo ALPN diretamente visíveis
  • Exibição completa da lista SAN: Todos os Nomes Alternativos do Sujeito são listados como tags, expansíveis para ver todos se houver mais de 8
  • Cópia com um clique de impressões duplas: Impressões SHA-1 e SHA-256 exibidas separadamente com suporte a cópia com um clique
  • Exportação JSON completa: Expansível para visualizar estrutura JSON completa do certificado, suporta cópia com um clique para solução profunda de problemas e arquivamento

Como Usar

  1. Digite o domínio a verificar (por exemplo geekformat.com, sem o prefixo https://)
  2. Clique no botão 'Verificar Certificado' e aguarde 1-3 segundos para resultados do handshake TLS
  3. Primeiro verifique o status de autorização (verde válido/vermelho inválido) e a cor dos dias restantes
  4. Verifique se versão TLS, Cipher e negociação ALPN atendem às expectativas
  5. Visualize Subject/Issuer, período de validade, lista SAN para confirmar que as informações do certificado estão corretas
  6. Para solução profunda de problemas, expanda detalhes JSON para ver a estrutura completa do certificado e copie para arquivamento

Perguntas frequentes

Por que preciso verificar certificados SSL?

Expiração de certificados, incompatibilidade de domínios e erros de configuração são os tipos mais comuns de falhas em sites HTTPS. Após a expiração, os navegadores exibem um aviso 'Não seguro' causando perda de visitantes, e o ranking de pesquisa do Google também é afetado. Verificação regular e renovação antecipada são tarefas básicas de DevOps para garantir o funcionamento normal do HTTPS.

Qual é a diferença entre este verificador e o SSL Labs?

O SSL Labs realiza pontuação profunda (incluindo testes abrangentes de protocolos, conjuntos de cifra, vulnerabilidades, levando cerca de 2 minutos), enquanto esta ferramenta realiza verificações básicas rápidas (retorna resultados em 1-3 segundos), cobrindo informações centrais como validade do certificado, expiração, versão TLS, conjuntos de cifra e lista SAN, adequada para validação rápida antes do lançamento, confirmação de renovação e solução de problemas.

Por que os navegadores podem acessar diretamente mas esta ferramenta falha na verificação?

Possíveis causas: 1) O site bloqueia IPs estrangeiros (servidores de verificação estão no exterior); 2) O servidor faz diferenciação SNI mas a configuração está incompleta; 3) Usa certificado autoassinado de intranet empresarial; 4) Firewall bloqueia nós de verificação. Falha na verificação não significa que o certificado tem problemas; deve ser julgado com base em mensagens de erro específicas.

Qual é a diferença entre TLS 1.2 e TLS 1.3?

TLS 1.3 (2018, RFC 8446) é a versão mais recente, com velocidade de handshake melhorada de 2-RTT do TLS 1.2 para 1-RTT ou até 0-RTT, removendo algoritmos inseguros como troca de chaves RSA, RC4 e SHA-1, ativando Forward Secrecy por padrão, com melhorias significativas tanto em segurança quanto em desempenho. Para novas implantações, recomenda-se priorizar o suporte a TLS 1.3 enquanto mantém TLS 1.2 para compatibilidade com clientes antigos.

Quantos dias antes da expiração do certificado devo renovar?

Recomenda-se começar a preparação da renovação 30 dias antes da expiração e concluir a implantação pelo menos 7 dias antes. A ferramenta usa alertas de cor: >30 dias verde (normal), 7-30 dias amarelo (deve renovar), <7 dias vermelho (urgente). Certificados Let's Encrypt têm validade de 90 dias; recomenda-se configurar renovação automática.

Let's Encrypt

O que é uma lista SAN e por que é importante?

SAN (Subject Alternative Name, Nome Alternativo do Sujeito) é uma lista de domínios/IPs declarados como permitidos para uso no certificado. Navegadores modernos (Chrome 58+) não confiam mais no campo Common Name (CN) e verificam apenas SAN. Se o domínio acessado não estiver na lista SAN, os navegadores reportarão erro de 'incompatibilidade de nome'. Um certificado pode cobrir vários domínios via SAN (por exemplo example.com, www.example.com, api.example.com).

Por que verificar impressões digitais de certificado?

Impressões digitais de certificado (SHA-1/SHA-256) são valores hash do conteúdo do certificado, utilizáveis para HPKP (obsoleto), fixação de certificado (Certificate Pinning) e verificação manual de que certificados implantados correspondem ao esperado — por exemplo, confirmar se CDN carregou novos certificados corretamente ou verificar se certificados são idênticos entre vários servidores. Nota: Impressões digitais SHA-1 são apenas para identificação e não devem ser usadas para verificação de segurança.

O que é Verificação de Certificados SSL/TLS?

A verificação de certificados SSL/TLS é o processo de iniciar um handshake TLS a partir do cliente para obter e analisar as informações de certificado retornadas pelo servidor alvo, determinando assim se a configuração HTTPS está correta. Os itens centrais de verificação incluem: se o certificado está dentro de seu período de validade, se o domínio acessado está na lista permitida do certificado (correspondência SAN), se a cadeia de certificados é completa e confiável, se a versão do protocolo TLS e conjuntos de cifra usados são seguros, etc.

**Por que a verificação de certificados é tão importante?** Certificados SSL são a base de confiança do HTTPS. Uma vez que problemas ocorrem com o certificado (o mais comum é expiração), navegadores bloqueiam o acesso diretamente, exibindo uma página de aviso vermelha 'Sua conexão não é particular', causando danos diretos ao tráfego do site, taxas de conversão, ranking SEO e confiança da marca. Segundo monitoramento, expiração de certificados é a causa mais comum de falhas HTTPS, representando mais de 40% de todos os incidentes HTTPS.

**Como é diferente de acessar diretamente em um navegador?** Acesso por navegador pode apresentar desvios devido a cache, HSTS, proxies empresariais, certificados de cliente, etc.; enquanto ferramentas de verificação de certificados iniciam handshakes TLS padrão de nós independentes, retornando informações de certificado objetivas e padronizadas adequadas para cenários de validação DevOps. Esta ferramenta inicia handshakes TLS diretamente de servidores backend, **sem restrições CORS do navegador**, e pode verificar qualquer domínio HTTPS acessível publicamente.

**Informações centrais verificadas por esta ferramenta**: Status de autorização do certificado (válido ou não), mensagens de erro específicas authorizationError, versão do protocolo TLS (TLS 1.2/1.3), conjunto de cifra negociado (Cipher), resultados de negociação do protocolo ALPN (h2/http/1.1), emissor do certificado (Subject/Issuer), datas de início e fim do período de validade (validFrom/validTo), dias restantes (com alertas de cor), lista de Nomes Alternativos do Sujeito SAN, impressões digitais SHA-1/SHA-256, tempo de resposta e detalhes JSON completos.

Resultados da verificação geralmente retornam em 1-3 segundos, adequados para cenários como validação rápida antes do lançamento, confirmação de renovação e solução de problemas. Para pontuação profunda (como a classificação A+-F do SSL Labs incluindo renegociação, testes de vulnerabilidades, suporte a protocolos, etc.), recomenda-se usar juntamente com SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) é um protocolo de criptografia desenvolvido pela Netscape na década de 1990, posteriormente padronizado pela IETF e renomeado como TLS (Transport Layer Security). SSL 3.0 e versões anteriores estão todos obsoletos; atualmente TLS 1.2 e TLS 1.3 são usados na prática, mas por convenção ainda é comum chamar 'certificado SSL'.
HTTPS
HTTP sobre TLS, que adiciona uma camada de criptografia TLS entre HTTP e TCP para fornecer criptografia de dados, autenticação do servidor e proteção de integridade do conteúdo. A pesquisa do Google dá peso de ranking a sites HTTPS, e o Chrome marca sites não HTTPS como 'Não seguro'.
SAN (Subject Alternative Name)
Campo de extensão de certificado X.509 que lista todos os nomes de domínio e endereços IP permitidos para este certificado. Navegadores modernos (Chrome 58+) apenas verificam SAN e não olham mais Common Name (CN). Um certificado SAN pode proteger vários domínios simultaneamente.
Cadeia de Certificados (Certificate Chain)
A cadeia de confiança do certificado folha (certificado do servidor) ao certificado CA intermediário, depois ao certificado CA raiz. O servidor deve enviar certificado folha + certificado intermediário; navegadores verificam a integridade da cadeia por meio de certificados raiz pré-instalados. A falta de certificados intermediários é um erro de configuração comum.
ALPN (Application-Layer Protocol Negotiation)
Extensão TLS que permite negociar protocolos de camada de aplicação durante o handshake TLS (por exemplo h2 para HTTP/2, http/1.1 para HTTP/1.1, h3 para HTTP/3). Após a conclusão do handshake, o protocolo negociado é usado diretamente sem viagens adicionais.
Cipher Suite(Conjunto de Cifra)
Um conjunto de combinações de algoritmos de criptografia negociadas durante o handshake TLS, incluindo algoritmo de troca de chaves, algoritmo de autenticação, algoritmo de criptografia simétrica e algoritmo de hash, como TLS_AES_256_GCM_SHA384. Configurações seguras devem priorizar conjuntos AEAD (como GCM, ChaCha20-Poly1305).
Let's Encrypt
Uma autoridade certificadora (CA) gratuita, automatizada e aberta operada pela ISRG, lançada oficialmente em 2016, já emitiu mais de 3 bilhões de certificados, reduzindo significativamente as barreiras para implantação de HTTPS. Os certificados têm validade de 90 dias, com renovação automática por meio do protocolo ACME.Site Oficial Let's Encrypt
Impressão Digital (Fingerprint)
Valor hash calculado do conteúdo codificado DER do certificado, comumente SHA-1 e SHA-256. Impressões digitais identificam exclusivamente um certificado, utilizáveis para fixação de certificados e verificação de consistência de múltiplos nós. SHA-1 não é mais recomendado para fins de segurança devido a riscos de colisão, mas permanece amplamente utilizado para identificação.
SNI (Server Name Indication)
Extensão TLS onde o cliente envia o nome de domínio alvo durante o handshake, permitindo que servidores no mesmo IP implantem vários certificados para diferentes domínios (semelhante ao cabeçalho Host do HTTP). SNI é a base do HTTPS de hosts virtuais modernos; servidores sem SNI configurado retornam o certificado padrão, o que pode causar erros de incompatibilidade de nome.
Sigilo Direto (Forward Secrecy / PFS)
Uma propriedade de segurança: mesmo que a chave privada do servidor seja comprometida posteriormente, o tráfego de sessão criptografado gravado anteriormente não pode ser descriptografado. Implementado por meio de algoritmos de troca de chaves efêmeras como ECDHE, é obrigatório para TLS 1.3 e um padrão recomendado para configurações de segurança modernas.

Histórico e Status Atual das Versões do Protocolo TLS

Versão do ProtocoloAno de LançamentoStatus AtualObservações
SSL 1.0-3.01995-1996❌ Obsoleto/InseguroContém vulnerabilidades críticas como POODLE; desativado por todos os navegadores modernos
TLS 1.01999❌ ObsoletoVulnerabilidades BEAST, CRIME; proibido desde PCI DSS 2018
TLS 1.12006❌ ObsoletoOficialmente obsoleto no RFC 8996; Chrome/Firefox removeram suporte em 2020
TLS 1.22008⚠️ Amplamente Suportado (Transição)Atualmente o mais implantado com melhor compatibilidade, mas apresenta riscos de alguns conjuntos de cifra fracos
TLS 1.32018 (RFC 8446)✅ RecomendadoHandshake mais rápido (1-RTT/0-RTT), algoritmos fracos removidos, preferido por navegadores modernos

Alertas de Cor por Expiração de Certificado e Recomendações

Dias RestantesCor do StatusAção Recomendada
>30 dias🟢 Verde (Normal)Nenhuma ação necessária; verificar periodicamente
7-30 dias🟡 Amarelo (Aviso)Iniciar o processo de renovação o mais rápido possível para garantir a substituição antes da expiração
<7 dias🔴 Vermelho (Urgente)Renovar imediatamente; navegadores bloquearão o acesso após expiração
0 dias/Expirado🔴 Vermelho (Expirado)O certificado está inválido; usuários verão avisos de segurança e deve ser tratado imediatamente

Resolução de Problemas de Tipos de Erros SSL Comuns

Tipo de ErroCausas ComunsDireção da Solução
Certificado expirado (expired)Certificado não foi renovado após a data validToRenovar e implantar novo certificado imediatamente
Incompatibilidade de nome (name mismatch)Domínio de acesso atual não está na lista SAN do certificadoReemitir certificado incluindo o domínio alvo ou verificar configuração de origem CDN
Cadeia incompleta (incomplete chain)Servidor não configurou certificados intermediários corretamenteImplantar certificado intermediário combinado com certificado folha
Certificado autoassinado (self-signed)Certificado foi emitido por uma CA privada, não é confiável publicamenteUsar uma CA confiável publicamente como Let's Encrypt para emitir o certificado
Emissor não confiável (untrusted issuer)Certificado raiz da CA não está no repositório de confiança do navegadorSubstituir por certificado emitido por uma CA confiável

Authoritative References