Como Gerenciar o AutoSSL para Segurança Ideal do Site

AutoSSL é uma funcionalidade do cPanel que provisiona e renova automaticamente certificados SSL/TLS para todos os domínios numa conta de alojamento, utilizando uma Autoridade de Certificação de confiança como Let's Encrypt ou Sectigo, sem necessitar de intervenção manual. Quando um certificado se aproxima da expiração, o AutoSSL reemite-o silenciosamente, mantendo HTTPS ininterrupto em todos os domínios e subdomínios que gere.

Para qualquer administrador de servidor que execute sites num VPS com cPanel, o AutoSSL elimina a causa mais comum de falhas inesperadas de HTTPS: renovações manuais esquecidas. Este guia abrange o ciclo de vida operacional completo — ativar, configurar, resolver problemas e reforçar o AutoSSL — com a profundidade técnica necessária para o gerir de forma fiável em produção.

O Que o AutoSSL Faz Internamente

O AutoSSL não é simplesmente um cron job que chama o Certbot. É um subsistema nativo do cPanel com a sua própria arquitetura de plugins de fornecedor. Quando acionado, executa a seguinte sequência:

1. Descoberta de domínios — analisa todos os domínios, subdomínios e nomes de host de correio associados à conta cPanel.
2. Análise de lacunas de certificados — compara os certificados existentes com a lista completa de domínios e identifica qualquer nome de host não coberto por um certificado válido e de confiança.
3. DCV (Validação de Controlo de Domínio) — comprova a propriedade do domínio utilizando um de dois métodos: validação de ficheiro baseada em HTTP (colocando um token em /.well-known/pki-validation/) ou validação baseada em DNS através de um registo TXT.
4. Emissão de certificado — solicita um novo certificado à CA configurada (Let's Encrypt por defeito na maioria dos alojamentos, Sectigo em servidores com licença WHM com acordo Sectigo).
5. Instalação — instala o certificado na configuração de host virtual do Apache ou LiteSpeed e atualiza o repositório de certificados do cPanel.
6. Agendamento de renovação — o AutoSSL é executado num agendamento cron a nível de servidor (tipicamente a cada 24 horas) e inicia tentativas de renovação quando um certificado tem menos de 15 dias restantes.

Compreender este processo é essencial para diagnosticar falhas, pois um problema em qualquer etapa produz uma classe de erro diferente.

AutoSSL vs. Certificados Manuais vs. Certbot: Uma Comparação Direta

Para a grande maioria dos sites em execução num ambiente partilhado ou VPS, o AutoSSL cobre todos os requisitos. O Certbot é preferível quando necessita de certificados wildcard ou opera fora de um ambiente cPanel. Os certificados pagos continuam a ser necessários apenas para requisitos de validação OV/EV, como instituições financeiras ou mandatos de conformidade empresarial.

Pré-requisitos Antes de Ativar o AutoSSL

Antes de executar o AutoSSL, verifique se as seguintes condições estão cumpridas. Ignorar esta lista de verificação é a principal razão pela qual as configurações iniciais falham.

Resolução DNS

• Cada domínio e subdomínio que pretende cobrir deve resolver para o endereço IP do servidor. O DCV HTTP do AutoSSL falhará se um domínio apontar para outro local.
• Verifique com: dig +short yourdomain.com A

Acessibilidade do servidor web

• A porta 80 deve estar aberta e a servir conteúdo. O desafio HTTP do Let's Encrypt requer uma resposta HTTP não autenticada na porta 80, mesmo que posteriormente redirecione tudo para HTTPS.
• Verifique: curl -I http://yourdomain.com/.well-known/pki-validation/

Sem certificados de terceiros em conflito

• Se um domínio já tiver um certificado instalado manualmente que não esteja expirado, o AutoSSL não o substituirá a menos que o exclua ou remova explicitamente.

Fornecedor AutoSSL do WHM configurado (administradores de servidor)

• No WHM, navegue até SSL/TLS > Gerir AutoSSL e confirme que um fornecedor está selecionado e ativo. No Alojamento VPS da AlexHost com cPanel, o Let's Encrypt está tipicamente pré-configurado.

Como Ativar o AutoSSL no cPanel: Passo a Passo

Passo 1: Aceder à Interface de Estado SSL/TLS

Inicie sessão na sua conta cPanel. Na secção Segurança, clique em Estado SSL/TLS. Este painel apresenta todos os domínios e subdomínios da conta, codificados por cores de acordo com o estado do certificado:

• Cadeado verde — certificado válido instalado
• Aviso amarelo — certificado presente mas a expirar em breve ou a utilizar uma CA auto-assinada/não confiável
• X vermelho — sem certificado válido

Passo 2: Selecionar Domínios para Cobertura AutoSSL

Reveja a lista de domínios. Por defeito, todos os domínios são elegíveis. Se pretender excluir subdomínios específicos (ambientes de teste, ferramentas internas ou domínios intencionalmente servidos via HTTP), marque as respetivas caixas de seleção e clique em Excluir do AutoSSL. Os domínios excluídos não serão afetados pelo processo AutoSSL.

Passo 3: Executar o AutoSSL

Clique no botão Executar AutoSSL. O cPanel iniciará imediatamente o processo de DCV e emissão. Para contas com muitos domínios, isto pode demorar vários minutos. A interface atualiza em tempo real, mostrando o estado por domínio.

Também pode acionar o AutoSSL programaticamente através da API do cPanel:

/usr/local/cpanel/bin/autossl_check --user=cpanelusername

Ou a partir do WHM para todas as contas no servidor:

/usr/local/cpanel/bin/autossl_check_all_users

Passo 4: Verificar a Instalação do Certificado

Após a conclusão do AutoSSL, regresse ao Estado SSL/TLS e confirme que todos os domínios visados apresentam um cadeado verde. Também pode verificar a partir da linha de comandos:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -issuer

Isto apresenta a janela de validade do certificado e a CA emissora, confirmando que o certificado correto está ativo.

Configurar Notificações do AutoSSL

As falhas do AutoSSL são silenciosas por defeito, a menos que configure alertas. No WHM, navegue até SSL/TLS > Gerir AutoSSL > Definições de Notificação e ative alertas por email para:

• Falhas na emissão de certificados
• Falhas de DCV
• Certificados a expirar dentro de um limite configurável (recomendado: 20 dias)

Ao nível da conta cPanel, certifique-se de que o endereço de email de contacto em Preferências > Informações de Contacto está atualizado. Os eventos do AutoSSL são registados em /var/cpanel/logs/autossl/ no servidor, com um ficheiro de registo por execução, com carimbo de data/hora para fácil correlação.

Resolução de Problemas do AutoSSL: Causas Raiz e Correções

Falhas de Validação de Domínio (DCV)

As falhas de DCV são o erro mais comum do AutoSSL. A entrada no registo tipicamente indica: DCV failed for domain "sub.example.com".

Causas raiz e resoluções:

• DNS não propagado — Se apontou recentemente um domínio para este servidor, a propagação DNS pode estar incompleta. Aguarde até 48 horas ou verifique com dig @8.8.8.8 yourdomain.com A.
• Domínio atrás de um proxy (Cloudflare, etc.) — Se o proxy do Cloudflare (nuvem laranja) estiver ativo, o DCV HTTP do AutoSSL pode falhar porque o ficheiro de desafio é servido a partir da extremidade do Cloudflare, não da origem. Desative temporariamente o proxy (nuvem cinzenta) durante a emissão, ou mude para DCV baseado em DNS se o seu fornecedor o suportar.
• .htaccess a bloquear /.well-known/ — Algumas configurações de .htaccess do WordPress ou com segurança reforçada bloqueiam o acesso a diretórios ocultos. Adicione a seguinte exceção:

RewriteRule ^.well-known/ - [L]

• Porta 80 bloqueada por firewall — Confirme que a porta 80 está aberta na sua firewall (iptables -L -n | grep 80 ou via gestor de firewall CSF/WHM).

Avisos de Conteúdo Misto Após Ativação de HTTPS

Após o AutoSSL provisionar um certificado, os navegadores podem ainda mostrar um aviso “Não Seguro” ou um cadeado com um triângulo de aviso. Isto é causado por conteúdo misto — recursos (imagens, scripts, folhas de estilo, iframes) carregados via http:// numa página HTTPS.

Correção para WordPress:

Instale o plugin Really Simple SSL, que reescreve URLs internas e define a variável de servidor HTTPS. Em alternativa, adicione isto ao wp-config.php:

define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

Correção ao nível do servidor (Apache/LiteSpeed):

Adicione um redirecionamento global de HTTP para HTTPS no seu host virtual ou .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Após aplicar o redirecionamento, utilize uma ferramenta como Why No Padlock ou as DevTools do navegador (separador Rede, filtrar por esquema) para identificar quaisquer recursos HTTP restantes.

Falhas de Renovação de Certificados

Se o AutoSSL não conseguir renovar um certificado que era anteriormente válido, verifique o registo do AutoSSL para a falha específica:

ls -lt /var/cpanel/logs/autossl/ | head -5
cat /var/cpanel/logs/autossl/LATEST_LOG_FILE

Causas comuns de falha de renovação:

• DNS alterado — O domínio agora aponta para um servidor diferente. O AutoSSL no servidor antigo já não consegue completar o DCV HTTP.
• Limites de taxa do Let's Encrypt — O Let's Encrypt impõe um limite de 5 certificados duplicados por semana por domínio. Se tiver estado a acionar repetidamente o AutoSSL manualmente durante testes, pode atingir este limite. Verifique em crt.sh as emissões recentes.
• Licença WHM expirada — Em servidores que utilizam o Sectigo como fornecedor AutoSSL, uma licença WHM expirada bloqueará novas emissões. Verifique o estado da licença no WHM em Configuração do Servidor > Gestor de Licenças.
• Incompatibilidade de versão do cPanel — Certifique-se de que o cPanel está atualizado. Execute upcp a partir do shell do servidor para aplicar atualizações.

Certificados Auto-Assinados ou Não Confiáveis a Persistir

Se um domínio apresentar um certificado auto-assinado apesar do AutoSSL ter sido executado com sucesso, um certificado instalado manualmente pode estar a ter precedência. No cPanel, navegue até SSL/TLS > Gerir Sites SSL e remova qualquer certificado instalado manualmente para o domínio afetado, depois execute novamente o AutoSSL.

Configuração Avançada: AutoSSL com Domínios Wildcard

O AutoSSL não emite nativamente certificados wildcard (*.example.com). Se a sua aplicação requer um wildcard — por exemplo, subdomínios gerados dinamicamente para uma plataforma SaaS — tem duas opções:

Opção 1: Utilizar o Certbot com desafio DNS

certbot certonly --dns-cloudflare 
  --dns-cloudflare-credentials ~/.secrets/cloudflare.ini 
  -d "*.example.com" -d "example.com"

Em seguida, instale o certificado resultante manualmente através da interface Gerir Sites SSL do cPanel ou via API do cPanel.

Opção 2: Adquirir um certificado DV wildcard

Os certificados DV wildcard de fornecedores como Sectigo ou DigiCert estão disponíveis a um custo razoável e podem ser instalados através da gestão de Certificados SSL. Este é o caminho mais simples para utilizadores não técnicos que necessitam de cobertura wildcard sem gerir o Certbot.

Considerações sobre AutoSSL e Alojamento de Email

O AutoSSL também protege nomes de host relacionados com correio: mail.yourdomain.com, smtp.yourdomain.com, imap.yourdomain.com e webmail.yourdomain.com. Estes são incluídos automaticamente na lista SAN (Nome Alternativo do Sujeito) do certificado emitido.

Se estiver a executar Alojamento de Email no mesmo servidor, verifique se o nome de host do servidor do seu cliente de correio corresponde a um dos SANs no certificado. Uma incompatibilidade entre o nome de host configurado no Outlook ou Thunderbird e a lista SAN do certificado produzirá erros SSL nos clientes de correio, mesmo que o próprio site apresente um cadeado válido.

Verifique a lista SAN completa de um certificado instalado:

echo | openssl s_client -connect mail.yourdomain.com:993 2>/dev/null | openssl x509 -noout -text | grep -A1 "Subject Alternative Name"

Reforço de Segurança Além do AutoSSL

O AutoSSL trata do provisionamento de certificados, mas a presença de um certificado por si só não constitui uma configuração TLS reforçada. Após ativar o AutoSSL, aplique os seguintes passos de reforço.

Impor apenas TLS 1.2 e 1.3

No WHM em Configuração de Serviço > Configuração Apache > Configuração Global, desative TLS 1.0 e 1.1. Para LiteSpeed, navegue até Consola WebAdmin > Ouvintes > SSL > Versão do Protocolo.

Ativar HSTS (HTTP Strict Transport Security)

Adicione o seguinte cabeçalho ao seu host virtual ou .htaccess após confirmar que HTTPS está estável:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Não ative preload até ter a certeza de que todos os subdomínios estão cobertos por certificados válidos e pretende manter HTTPS permanentemente. A pré-carregamento de HSTS é irreversível em curtos períodos de tempo.

Desativar conjuntos de cifras fracos

Na configuração Apache do WHM, defina a diretiva SSLCipherSuite para uma lista de cifras moderna. Uma linha de base segura:

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

Testar a sua configuração

Execute o seu domínio através do SSL Labs Server Test após aplicar as alterações. Vise uma classificação A ou A+. O AutoSSL por si só tipicamente obtém uma classificação B nas configurações padrão do cPanel; o reforço de cifras e protocolos acima eleva-a para A+.

Melhores Práticas para Gestão do AutoSSL em Produção

Mantenha o cPanel e o WHM atualizados. A integração do AutoSSL com o Let's Encrypt depende do cliente ACME incluído no cPanel. Versões desatualizadas podem falhar perante alterações na API do Let's Encrypt. Execute atualizações via WHM ou agende-as com:

/scripts/upcp --force

Mantenha registos DNS precisos. Qualquer alteração DNS — migração de nameserver, alteração de IP, ativação de CDN — pode interromper o DCV. Antes de migrar um domínio para um novo servidor ou CDN, planeie a reemissão do AutoSSL como parte da lista de verificação de migração.

Não dependa exclusivamente dos registos do AutoSSL. Configure monitorização externa de certificados utilizando ferramentas como certspotter, monitorização SSL do Uptime Robot, ou um cron personalizado que o alerte se a expiração de um certificado descer abaixo de 20 dias:

#!/bin/bash
DOMAIN="yourdomain.com"
EXPIRY=$(echo | openssl s_client -connect ${DOMAIN}:443 -servername ${DOMAIN} 2>/dev/null 
  | openssl x509 -noout -enddate | cut -d= -f2)
EXPIRY_EPOCH=$(date -d "${EXPIRY}" +%s)
NOW_EPOCH=$(date +%s)
DAYS_LEFT=$(( (EXPIRY_EPOCH - NOW_EPOCH) / 86400 ))
if [ "$DAYS_LEFT" -lt 20 ]; then
  echo "WARNING: ${DOMAIN} certificate expires in ${DAYS_LEFT} days" | mail -s "SSL Alert" admin@yourdomain.com
fi

Utilize certificados separados para domínios de alto valor. Para domínios que processam pagamentos ou dados sensíveis de utilizadores, considere complementar o certificado DV do AutoSSL com um certificado OV ou EV pago instalado manualmente. O AutoSSL e os certificados geridos manualmente podem coexistir no mesmo servidor — o AutoSSL simplesmente ignora domínios que já têm um certificado válido e de confiança instalado.

Audite periodicamente os domínios excluídos. Os domínios excluídos do AutoSSL são fáceis de esquecer. Agende uma revisão trimestral da lista de exclusões em Estado SSL/TLS para garantir que domínios de teste ou desenvolvimento não entraram acidentalmente em produção sem cobertura de certificado.

Matriz de Decisão: Quando o AutoSSL É e Não É Suficiente

Principais Conclusões Técnicas

• O AutoSSL é executado num agendamento cron a nível de servidor e verifica todas as contas diariamente; os acionamentos manuais estão disponíveis via WHM ou API do cPanel para emissão imediata.
• O DCV HTTP requer que a porta 80 esteja aberta e que o caminho /.well-known/pki-validation/ seja publicamente acessível — este é o erro de configuração mais comum.
• O modo de proxy orange-cloud do Cloudflare bloqueia o DCV HTTP; mude para grey-cloud durante a emissão inicial ou utilize DCV baseado em DNS.
• O AutoSSL não emite certificados wildcard; utilize o Certbot com um plugin DNS ou um certificado wildcard adquirido para esse requisito.
• O HSTS só deve ser ativado após o AutoSSL estar confirmado como estável em todos os subdomínios; a implementação prematura de HSTS com um certificado incompleto pode impedir os utilizadores de aceder a subdomínios.
• A monitorização externa de certificados é obrigatória em produção — os alertas internos do AutoSSL são um complemento, não um substituto, para a monitorização independente de expiração.
• Para servidores que requerem um controlo mais granular sobre a configuração TLS, o provisionamento de um Servidor Dedicado dá acesso total à pilha SSL do servidor web sem restrições de ambiente partilhado.
• Os Painéis de Controlo VPS diferentes do cPanel (Plesk, DirectAdmin, CyberPanel) têm os seus próprios equivalentes ao AutoSSL com diferentes caminhos de configuração, mas a mesma mecânica de protocolo ACME subjacente.

Perguntas Frequentes

O AutoSSL funciona se o meu domínio estiver atrás do Cloudflare?

Apenas se o Cloudflare estiver em modo apenas DNS (nuvem cinzenta). Quando o proxy orange-cloud está ativo, o Cloudflare interceta pedidos HTTP, impedindo o Let's Encrypt de aceder ao ficheiro de token DCV no seu servidor de origem. Desative temporariamente o proxy durante a emissão ou configure o modo SSL do Cloudflare para “Full (Strict)” e utilize um Certificado de Origem Cloudflare em alternativa.

Com que frequência o AutoSSL tenta renovar certificados?

O cron do AutoSSL é executado a cada 24 horas a nível de servidor. Inicia tentativas de renovação quando um certificado tem 15 ou menos dias restantes. Os certificados Let's Encrypt têm um período de validade de 90 dias, pelo que a renovação ocorre tipicamente por volta do dia 75.

O AutoSSL pode coexistir com um certificado SSL pago instalado manualmente?

Sim. O AutoSSL ignora qualquer domínio que já tenha um certificado válido e de confiança instalado. Se instalar um certificado pago manualmente através do gestor SSL do cPanel, o AutoSSL não o substituirá. Assim que o certificado pago expirar, o AutoSSL intervirá e emitirá um certificado Let's Encrypt na sua próxima execução agendada, desde que o domínio passe no DCV.

Por que razão o meu cliente de correio apresenta um erro SSL mesmo que o site tenha um certificado AutoSSL válido?

O cliente de correio está a ligar-se a um nome de host (ex.: mail.yourdomain.com) que pode não estar incluído na lista SAN do certificado, ou um certificado diferente está instalado nas portas de correio (993, 587, 465). Execute o comando openssl s_client contra a porta de correio e verifique se a lista SAN corresponde ao nome de host que o seu cliente está configurado para utilizar.

O que acontece se o AutoSSL não conseguir renovar e o certificado expirar?

Os navegadores apresentarão um aviso de página inteira “A sua ligação não é privada”, e a maioria dos utilizadores não prosseguirá. Os rastreadores de motores de busca também podem sinalizar o site. Se tiver o HSTS ativado, o navegador recusará ligar-se completamente sem opção de contorno. Monitorize a expiração proativamente com ferramentas externas e configure alertas de email no WHM para detetar falhas de renovação antes de atingirem a expiração.