Erros de Segurança SSL: O Guia Completo para Diagnosticar e Corrigi-los

Os erros SSL/TLS estão entre os problemas mais disruptivos que um website pode enfrentar. Um único aviso de certificado é suficiente para afastar visitantes — e com razão. Estes alertas do navegador sinalizam que a conexão criptografada entre um utilizador e um servidor não pode ser verificada, colocando dados sensíveis em risco. Quer seja um utilizador regular da internet deparando-se com uma página de aviso frustrante ou um proprietário de website observando a sua taxa de rejeição aumentar, compreender os erros de segurança SSL é essencial.

Este guia abrangente cobre todos os tipos principais de erro SSL, a sua causa raiz e os passos exatos necessários para corrigi-lo — tanto da perspectiva do utilizador como do administrador do servidor.

O que é SSL/TLS e por que é importante?

SSL (Secure Sockets Layer) e o seu sucessor moderno TLS (Transport Layer Security) são protocolos criptográficos que encriptam dados transmitidos entre um navegador web e um servidor web. Quando um site utiliza HTTPS, significa que um certificado SSL/TLS está em vigor, autenticando a identidade do servidor e protegendo os dados em trânsito.

Quando algo corre mal com esse certificado — expira, está mal configurado ou o navegador não consegue validá-lo — a conexão é sinalizada como insegura. Navegadores como Chrome, Firefox, Edge e Safari exibem páginas de aviso proeminentes para proteger os utilizadores de potenciais ataques man-in-the-middle ou sites fraudulentos.

Para proprietários de websites, estes erros não apenas prejudicam a confiança do utilizador — danificam as classificações de SEO, reduzem conversões e podem sinalizar problemas mais profundos de infraestrutura que necessitam de atenção imediata.

Os erros de segurança SSL mais comuns explicados

1. NET::ERR_CERT_COMMON_NAME_INVALID

O que significa: O nome de domínio listado no Common Name (CN) ou Subject Alternative Names (SANs) do certificado SSL não corresponde ao domínio que o navegador está a tentar alcançar.

Causas comuns:

• Certificado emitido para www.example.com mas o site é acedido via example.com (ou vice-versa)
• Um certificado wildcard (*.example.com) que não cobre o domínio raiz
• Um certificado de um domínio diferente aplicado acidentalmente ao servidor
• Anfitriões virtuais mal configurados no Apache ou Nginx

2. Certificado SSL expirado (NET::ERR_CERT_DATE_INVALID)

O que significa: Cada certificado SSL tem um período de validade — tipicamente 90 dias para Let’s Encrypt ou até 1–2 anos para certificados comerciais. Após esse período expirar, os navegadores rejeitam imediatamente a conexão.

Causas comuns:

• A renovação automática falhou silenciosamente (erro de cron job, problema de DNS, porta 80 bloqueada)
• A renovação manual foi esquecida
• O certificado foi renovado mas não recarregado pelo servidor web

3. Erro de conteúdo misto

O que significa: A página é servida via HTTPS, mas alguns recursos incorporados — imagens, ficheiros JavaScript, folhas de estilo, iframes — ainda são carregados via HTTP simples. Os navegadores bloqueiam ou avisam sobre estes sub-recursos inseguros.

Causas comuns:

• Conteúdo legado com URLs http:// codificadas
• Widgets ou scripts de terceiros utilizando endpoints HTTP
• Um site migrado de HTTP para HTTPS sem atualizar ligações internas

4. NET::ERR_CERT_AUTHORITY_INVALID

O que significa: O certificado foi emitido por uma Autoridade de Certificação (CA) que o navegador não confia. Isto pode acontecer com certificados auto-assinados ou certificados de CAs privadas/internas.

Causas comuns:

• Certificado auto-assinado utilizado num ambiente de produção
• Cadeia de certificados incompleta (certificados intermédios em falta)
• Certificado de uma CA que foi desconfiada pelos fornecedores de navegadores

5. SSL_ERROR_RX_RECORD_TOO_LONG / Incompatibilidade de protocolo

O que significa: O navegador e o servidor não conseguem concordar com uma versão de protocolo SSL/TLS ou suite de cifra mútua. Isto acontece frequentemente quando um servidor ainda suporta protocolos deprecados como SSLv3 ou TLS 1.0.

Causas comuns:

• Servidor configurado para utilizar versões TLS desatualizadas
• Firewall ou balanceador de carga a interceptar tráfego HTTPS na porta errada
• Tráfego HTTP a ser enviado para uma porta HTTPS

6. Navegador desatualizado

O que significa: Navegadores mais antigos podem não suportar versões TLS modernas (TLS 1.2 ou 1.3), suites de cifra mais recentes ou formatos de certificado atualizados, causando que certificados válidos pareçam quebrados.

Como corrigir erros SSL como utilizador

Se está a visitar um website e encontrar avisos SSL, o problema pode não estar sempre no lado do servidor. Eis os passos para descartar problemas do lado do cliente:

Passo 1: Limpar a cache e cookies do navegador

Dados em cache obsoletos podem fazer com que o navegador referencie uma resposta de certificado antiga e inválida.

Chrome:

1. Pressione Ctrl + Shift + Delete (Windows/Linux) ou Cmd + Shift + Delete (Mac)
2. Defina o intervalo de tempo para Todo o tempo
3. Marque Imagens e ficheiros em cache e Cookies e outros dados do site
4. Clique em Limpar dados

Firefox:

1. Vá para Definições → Privacidade e segurança → Cookies e dados do site
2. Clique em Limpar dados

Após limpar, feche e reabra o navegador, depois visite novamente o site.

Passo 2: Verificar a data e hora do sistema

A validação de certificado SSL é sensível ao tempo. Se o relógio do sistema estiver errado — mesmo por um dia — o navegador pode concluir que um certificado válido está expirado ou ainda não ativo.

Windows:

1. Clique com o botão direito no relógio na barra de tarefas → Ajustar data/hora
2. Ative Definir hora automaticamente e Definir fuso horário automaticamente

macOS:

1. Vá para Definições do sistema → Geral → Data e hora
2. Ative Definir data e hora automaticamente

Linux:

sudo timedatectl set-ntp true
timedatectl status

Passo 3: Atualizar o navegador

Os certificados SSL/TLS modernos utilizam algoritmos e extensões que versões de navegador mais antigas não suportam. Sempre execute a versão estável mais recente do seu navegador.

• Chrome: Menu → Ajuda → Sobre o Google Chrome → Atualizar
• Firefox: Menu → Ajuda → Sobre o Firefox → Atualizar
• Edge: Menu → Ajuda e comentários → Sobre o Microsoft Edge → Atualizar

Passo 4: Desativar VPN ou proxy temporariamente

VPNs e proxies podem interceptar conexões HTTPS e substituir os seus próprios certificados, acionando avisos do navegador. Desative-os temporariamente para determinar se são a fonte do erro.

Passo 5: Verificar a análise HTTPS do antivírus

Alguns programas antivírus realizam inspeção SSL injetando os seus próprios certificados. Se o certificado raiz do antivírus não for confiável pelo navegador, isto causa erros SSL. Verifique as definições do antivírus e desative a análise HTTPS se necessário.

Como corrigir erros SSL como proprietário de website

Se o seu próprio website está a lançar erros SSL, os passos seguintes ajudá-lo-ão a diagnosticar e resolvê-los sistematicamente.

Correção 1: Renovar um certificado SSL expirado

Utilizando Let’s Encrypt com Certbot:

Primeiro, verifique a data de expiração do certificado atual:

sudo certbot certificates

Para renovar todos os certificados geridos pelo Certbot:

sudo certbot renew

Para forçar a renovação mesmo que o certificado não esteja próximo da expiração:

sudo certbot renew --force-renewal

Após a renovação, recarregue o servidor web para aplicar o novo certificado:

# For Nginx
sudo systemctl reload nginx

# For Apache
sudo systemctl reload apache2

Automatizar a renovação com um cron job:

sudo crontab -e

Adicione a seguinte linha para verificar a renovação duas vezes por dia (recomendado por Let’s Encrypt):

0 0,12 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

> Dica profissional: Se está alojado com AlexHost VPS Hosting, o Certbot pode ser instalado e configurado diretamente no seu VPS Linux, dando-lhe controlo total sobre a gestão de certificados e renovações automáticas.

Correção 2: Resolver NET::ERR_CERT_COMMON_NAME_INVALID

Este erro requer verificar que o certificado cobre o(s) domínio(s) exato(s) que o site utiliza.

Verificar que domínios o certificado cobre:

sudo certbot certificates

Ou inspecionar o certificado diretamente:

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text | grep -A2 "Subject Alternative Name"

Se o certificado não cobre tanto example.com como www.example.com, reemita-o com ambos:

sudo certbot --nginx -d example.com -d www.example.com

Ou com Apache:

sudo certbot --apache -d example.com -d www.example.com

Verificar a configuração do anfitrião virtual (Nginx):

server {
    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
}

Certifique-se de que server_name corresponde exatamente aos domínios no certificado.

Correção 3: Corrigir erros de conteúdo misto

O conteúdo misto é um dos problemas mais comuns após migrar um site de HTTP para HTTPS.

Passo 1: Identificar conteúdo misto

Abra as Ferramentas de Desenvolvimento do navegador (F12) → separador Console. Os avisos de conteúdo misto aparecem como:

Mixed Content: The page at 'https://example.com' was loaded over HTTPS, 
but requested an insecure resource 'http://example.com/image.jpg'.

Passo 2: Atualizar ligações HTTP codificadas na base de dados (exemplo WordPress)

Utilize a ferramenta WP-CLI ou um plugin como “Better Search Replace” para atualizar todas as referências HTTP:

wp search-replace 'http://example.com' 'https://example.com' --skip-columns=guid

Passo 3: Adicionar um cabeçalho de atualização HTTPS no Nginx

add_header Content-Security-Policy "upgrade-insecure-requests;";

Ou no .htaccess do Apache:

Header always set Content-Security-Policy "upgrade-insecure-requests;"

Passo 4: Forçar redirecionamentos HTTPS

No Nginx:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

No Apache .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Correção 4: Resolver problemas de cadeia de certificados (ERR_CERT_AUTHORITY_INVALID)

Uma cadeia de certificados incompleta é uma causa frequente deste erro, especialmente quando o certificado intermédio está em falta.

Verificar a cadeia com OpenSSL:

openssl s_client -connect yourdomain.com:443 -showcerts

Procure pela cadeia completa: certificado do seu domínio → CA intermédio → CA raiz.

Correção no Nginx — certifique-se de que está a utilizar fullchain.pem (não apenas cert.pem):

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;

Correção no Apache:

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

Utilize o SSL Labs Server Test para verificar que a cadeia de certificados completa é servida corretamente.

Correção 5: Atualizar a configuração do protocolo TLS

Desative protocolos desatualizados e aplique TLS 1.2 e TLS 1.3 no seu servidor.

Nginx — configuração TLS recomendada:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;

Apache — configuração TLS recomendada:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off

Recarregue o servidor web após fazer alterações.

Correção 6: Ativar HTTP Strict Transport Security (HSTS)

HSTS instrui os navegadores a sempre utilizar HTTPS para o seu domínio, prevenindo ataques de downgrade de protocolo e problemas de conteúdo misto.

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

> Aviso: Apenas ative HSTS com preload uma vez que tem a certeza de que todo o site funciona em HTTPS. Esta diretiva é muito difícil de reverter.

Tipos de certificado SSL: Escolher o correto

Nem todos os certificados SSL são iguais. Escolher o tipo correto para o seu caso de uso previne muitos erros comuns de ocorrerem em primeiro lugar.

Para websites profissionais e lojas online, investir num certificado comercial confiável adiciona uma camada extra de credibilidade. AlexHost oferece Certificados SSL para todos os tipos de websites, desde certificados DV básicos até opções multi-domínio avançadas.

Gestão proativa de SSL: Prevenindo erros antes de acontecerem

Corrigir erros SSL reativamente é custoso. Eis como se manter à frente deles:

1. Monitorar a expiração do certificado

Configure ferramentas de monitorização que o alertem antes do certificado expirar:

• UptimeRobot — monitorização SSL gratuita com alertas por email/SMS
• Renovação integrada do Certbot — renova automaticamente certificados Let’s Encrypt 30 dias antes da expiração
• Nagios / Zabbix — monitorização de nível empresarial para administradores de servidor

2. Utilizar um ambiente de alojamento confiável

Os erros SSL são frequentemente sintomas de um ambiente de alojamento mal configurado ou insuficientemente dimensionado. Um plano VPS Hosting dá-lhe acesso root para gerir os seus próprios certificados SSL, configurar definições TLS com precisão e automatizar renovações — algo que ambientes de alojamento partilhado frequentemente restringem.

Para operações maiores que requerem desempenho máximo e recursos dedicados, Servidores dedicados fornecem controlo completo sobre a sua pilha SSL/TLS, configuração de firewall e infraestrutura de certificados.

3. Utilizar um painel de controlo para gestão SSL mais fácil

Se preferir uma abordagem baseada em GUI para gerir certificados SSL, um painel de controlo simplifica todo o processo. Com VPS com cPanel, pode instalar, renovar e gerir certificados SSL através de uma interface visual sem tocar na linha de comando — ideal para agências que gerem múltiplos sites de clientes.

Alternativamente, explore a gama completa de Painéis de controlo VPS para encontrar a interface de gestão que se adequa ao seu fluxo de trabalho.

4. Testar a configuração SSL regularmente

Execute verificações periódicas de saúde SSL utilizando estas ferramentas:

• SSL Labs (ssllabs.com/ssltest) — classificação abrangente da sua configuração TLS
• Why No Padlock (whynopadlock.com) — deteta problemas de conteúdo misto
• DigiCert SSL Checker — valida cadeia de certificados e expiração

5. Manter o registo de domínio atual

Um domínio expirado pode indiretamente causar problemas SSL se os registos DNS ficarem inativos. Certifique-se de que o domínio é sempre renovado e o DNS está devidamente configurado. O serviço Registo de domínios da AlexHost inclui gestão de renovação fácil para manter o domínio ativo e a cadeia SSL intacta.

Lista de verificação rápida de diagnóstico de erro SSL

Utilize esta lista de verificação quando encontrar um erro SSL:

Para utilizadores:

• [ ] Limpar cache e cookies do navegador
• [ ] Verificar se a data e hora do sistema estão corretas
• [ ] Atualizar navegador para a versão mais recente
• [ ] Desativar VPN ou proxy temporariamente
• [ ] Desativar análise HTTPS do antivírus

Para proprietários de websites:

• [ ] Verificar data de expiração do certificado (###PP