Existem múltiplas formas de obter um certificado SSL grátis em 2026. Mas “grátis” não significa que são todos iguais — eles diferem em quantos certificados você pode obter, se sua chave privada permanece privada, suporte a wildcard e o que acontece quando você quer deixar o provedor.
Esta é a comparação que nenhum outro site faz: analisamos onde sua chave privada é gerada — porque se o provedor tem sua chave, sua criptografia está comprometida na origem.
Comparação rápida: todos os provedores em um relance
| Provedor | Tipo | Validade | Wildcard (grátis) | Conta necessária | Chave privada | Limite grátis | Renovação automática |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | CA independente | 90 dias | ✅ DNS-01 | Não | ✅ Local | Ilimitado | Via cliente ACME |
| ZeroSSL | CA independente | 90 dias | ❌ Apenas pago | ⚠️ Depende | 3 certificados | Via ACME | |
| Buypass Go | CA independente | 180 dias | ❌ | Não | ✅ Local | Ilimitado | Via ACME |
| Google Trust Services | CA independente | 90 dias | ✅ DNS-01 | Google Cloud | ✅ Local | Ilimitado | Via ACME |
| Cloudflare | Proxy CDN | Auto | ✅ | ❌ Cloudflare mantém | Ilimitado | Automática | |
| SSL For Free | Ferramenta web | 90 dias | ❌ | ⚠️ Gerada no servidor | 3 certificados | Não | |
| Provedores de hospedagem | Incluído | 90+ dias | Varia | Conta de hospedagem | ✅ No seu servidor | Ilimitado | Geralmente auto |
| AWS ACM | Serviço em nuvem | Auto | ✅ | Conta AWS | ❌ AWS mantém | Ilimitado | Automática |
Autoridades Certificadoras Independentes
Essas CAs emitem certificados que você baixa e possui. Você pode instalá-los em qualquer lugar — qualquer servidor, qualquer plataforma, qualquer provedor.
Let’s Encrypt — O padrão da indústria
Let’s Encrypt é uma CA sem fins lucrativos gerida pelo Internet Security Research Group (ISRG). Ela domina o mercado com 63,9% de participação global de CA e mais de 300 milhões de certificados ativos.
O que a torna a escolha padrão:
- Verdadeiramente ilimitada — sem limites no tier grátis, sem vendas adicionais, sem planos pagos
- Certificados wildcard — via challenge DNS-01, sem custo
- Ecossistema massivo — mais de 50 clientes ACME: GetHTTPS (navegador), Certbot (CLI), acme.sh (shell), Caddy (integrado) e muitos mais
- Sem conta necessária — chaves de conta ACME são geradas localmente, sem cadastro de email
- Certificate Transparency — todos os certificados emitidos são registrados publicamente para responsabilização
- Apoiada por Mozilla, Google, EFF, Meta, Cisco e outros
Limitações:
- Validade de 90 dias (requer planejamento de renovação — guia)
- Apenas DV — sem OV ou EV (você precisa deles?)
- Limites de taxa: 50 certificados por domínio registrado por semana (generoso para qualquer uso legítimo)
- Sem suporte dedicado — apenas fórum da comunidade
Como obter um certificado Let’s Encrypt:
| Ferramenta | Tipo | Melhor para |
|---|---|---|
| GetHTTPS | Navegador | Sem instalação, chave fica no navegador |
| Certbot | CLI | Renovação automática em servidores Linux |
| acme.sh | Shell script | Sem root, 150+ plugins DNS |
| Caddy | Servidor web | HTTPS com zero configuração |
ZeroSSL — Tier grátis com condições
ZeroSSL é uma CA comercial apoiada pela Sectigo. Oferece um tier grátis junto com planos pagos ($10-100/mês).
Vantagens sobre o Let’s Encrypt:
- Painel web para gerenciamento de certificados
- REST API para emissão programática
- Válidação por email (sem necessidade de acesso ao servidor)
- Certificados de 1 ano nos planos pagos
As pegadinhas:
- Tier grátis: apenas 3 certificados — depois você precisa de um plano pago
- Wildcard: apenas pago — Let’s Encrypt oferece wildcards gratuitamente
- Preocupação com a chave privada: Ao usar o painel web, a chave pode ser gerada no servidor do ZeroSSL, não no seu navegador. Usar o endpoint ACME deles com um cliente local mantém a chave local.
- Propriedade da Sectigo — uma CA comercial com incentivos comerciais
Conclusão: ZeroSSL é bom para 1-3 sites se você quer um painel. Para qualquer coisa mais, o Let’s Encrypt não tem limites. Comparação detalhada →
Buypass Go SSL — Maior validade, menos recursos
Buypass é uma CA norueguesa que oferece certificados DV gratuitos com validade de 180 dias — o dobro do Let’s Encrypt.
Vantagens:
- Validade de 180 dias = menos renovações
- Suporte ao protocolo ACME (funciona com Certbot, acme.sh)
- Sem conta necessária
- CA europeia (relevante para organizações preocupadas com GDPR)
- Certificados grátis ilimitados
Limitações:
- Sem suporte a wildcard — impeditivo se você precisa de
*.exemplo.com - Comunidade menor — menos documentação, menos integrações testadas
- Menor reconhecimento de nome
Melhor para: Sites simples que querem maior validade sem wildcards.
Google Trust Services — A CA própria do Google
Google Trust Services emite certificados DV gratuitos via ACME, apoiados pela infraestrutura do Google.
Vantagens:
- Suporte a wildcard via DNS-01
- Confiabilidade do nível Google
- Compatível com ACME (Certbot, acme.sh)
Limitações:
- Requer uma conta Google Cloud para o endpoint ACME
- Menos documentação da comunidade que o Let’s Encrypt
- Validade de 90 dias
- Dependência do Google Cloud
Melhor para: Equipes já no Google Cloud que querem um único ecossistema.
CDN e SSL gerenciado em nuvem
Esses provedores gerenciam certificados para você — mas você não os possui.
Cloudflare — SSL grátis como parte do CDN
Cloudflare fornece “Universal SSL” em seu plano grátis. Mas isso é fundamentalmente diferente de um certificado que você pode baixar.
Como o SSL do Cloudflare realmente funciona:
Visitante ──HTTPS──→ Edge Cloudflare ──???──→ Seu Servidor de Origem
(certificado do Cloudflare) (pode não ter criptografia!)
A conexão criptografada dos seus visitantes termina no Cloudflare, não no seu servidor. O Cloudflare descriptografa o tráfego, processa-o (cache, WAF, etc.) e depois faz uma conexão separada com sua origem.
O problema: No modo “Flexible” (o padrão para muitos), a conexão Cloudflare→origem é HTTP puro. Seus visitantes veem um cadeado, mas o tráfego do backend não está criptografado. Sempre use o modo “Full (Strict)” com um certificado real na sua origem.
O que você não obtém:
- Um arquivo de certificado que você pode baixar
- Uma chave privada que você controla
- Um certificado que funciona sem o Cloudflare
- Privacidade em relação ao Cloudflare (eles veem todo o tráfego em texto plano)
- Uso em serviços não-web (email, APIs que não estão atrás do Cloudflare)
O que você obtém:
- Zero gerenciamento de certificados
- Renovação automática
- Proteção DDoS, CDN e outros recursos do Cloudflare
- Cobertura wildcard
Melhor para: Sites que já estão no Cloudflare e aceitam o modelo de proxy. Não é substituto para um certificado real se você quer criptografia ponta a ponta ou portabilidade. Comparação completa →
AWS Certificate Manager (ACM) — Apenas para serviços AWS
ACM fornece certificados grátis para load balancers AWS (ALB/NLB), CloudFront e API Gateway.
Limitação principal: Você não pode baixar a chave privada. Certificados ACM só funcionam com serviços gerenciados pela AWS — não em EC2 diretamente ou qualquer servidor fora da AWS. Guia completo de SSL na AWS →
Ferramentas baseadas na web (cautela necessária)
SSL For Free — Conveniência com custo de privacidade
SSL For Free era uma ferramenta web simples para obter certificados Let’s Encrypt. Agora é propriedade da ZeroSSL/Sectigo e redireciona para o ZeroSSL.
⚠️ Problema crítico de privacidade: A interface web do SSL For Free gerava sua chave privada no servidor deles e a enviava para você. Isso significa que eles tinham acesso à sua chave privada — a única coisa que deveria ser secreta. Se os sistemas deles fossem violados, todas as chaves que geraram poderiam ser comprometidas.
Esta é a diferença central entre o SSL For Free e o GetHTTPS: GetHTTPS gera a chave no seu navegador usando a Web Crypto API. A chave só existe na memória do seu navegador até você baixá-la. Nenhum servidor jamais a vê. Comparação detalhada →
Provedores de hospedagem com SSL incluído
A maioria dos provedores de hospedagem modernos inclui SSL grátis — geralmente Let’s Encrypt via AutoSSL ou sua própria integração:
| Host | SSL grátis | Wildcard | Renovação automática | Como ativar |
|---|---|---|---|---|
| Hostinger | ✅ Let’s Encrypt | ✅ | ✅ | hPanel → Security → SSL |
| SiteGround | ✅ Let’s Encrypt | ✅ | ✅ | Site Tools → Security → SSL |
| Bluehost | ✅ Let’s Encrypt | ❌ | ✅ | My Sites → Security |
| Namecheap | ✅ AutoSSL | ❌ | ✅ | cPanel → SSL/TLS Status |
| A2 Hosting | ✅ Let’s Encrypt | ✅ | ✅ | cPanel → SSL/TLS |
| DreamHost | ✅ Let’s Encrypt | ✅ | ✅ | Panel → Secure Hosting |
| DigitalOcean | ❌ | — | — | Use GetHTTPS ou Certbot |
| Hetzner | ❌ | — | — | Use GetHTTPS ou Certbot |
| Vultr | ❌ | — | — | Use GetHTTPS ou Certbot |
Se seu host inclui SSL grátis — use-o. É o caminho de menor resistência.
Se seu host não inclui (DigitalOcean, Hetzner, Vultr, Linode ou qualquer VPS) — use GetHTTPS para um certificado rápido ou Certbot para renovação automática.
A dimensão da privacidade: onde está sua chave privada?
Esta é a comparação que nenhum outro artigo “melhor SSL grátis” faz — e é a pergunta de segurança mais importante:
| Provedor | Onde a chave privada é gerada? | Quem tem acesso? | Nível de risco |
|---|---|---|---|
| GetHTTPS | Seu navegador (Web Crypto API) | Apenas você | ✅ Mais baixo |
| Certbot / acme.sh | Seu servidor (OpenSSL) | Você + qualquer pessoa com root | ✅ Normal |
| Let’s Encrypt (qualquer cliente) | Depende do cliente — veja acima | Depende do cliente | Varia |
| ZeroSSL (cliente ACME) | Seu servidor | Você + root | ✅ Normal |
| ZeroSSL (painel web) | Servidor do ZeroSSL | ZeroSSL + você | ⚠️ Mais alto |
| SSL For Free (web) | Servidor deles | SSLForFree + você | ⚠️ Mais alto |
| Cloudflare | Infraestrutura do Cloudflare | Cloudflare | ⚠️ Você não a possui |
| AWS ACM | Infraestrutura da AWS | AWS | ⚠️ Você não a possui |
| Hospedagem AutoSSL | Seu servidor de hospedagem | Host + você | ✅ Normal |
Por que isso importa: Sua chave privada é a base da segurança do seu certificado. Se qualquer outra pessoa a possui, ela pode se passar pelo seu site. A maioria das comparações de “provedores SSL grátis” ignora isso completamente.
Matriz de decisão
| Sua situação | Recomendado | Por quê |
|---|---|---|
| Maioria dos sites | Let’s Encrypt via GetHTTPS | Sem limites, melhor privacidade, funciona em qualquer lugar |
| Precisa de renovação automática | Let’s Encrypt via Certbot | Configure uma vez, esqueça para sempre |
| Hospedagem compartilhada com cPanel | AutoSSL do seu host | Já está lá, zero esforço |
| Já no Cloudflare | Cloudflare + certificado de origem do GetHTTPS | Benefícios do CDN + criptografia real na origem |
| Já na AWS | ACM para ALB/CloudFront + GetHTTPS para EC2 | ACM é grátis e renova automaticamente |
| Quer maior validade | Buypass Go via Certbot | 180 dias vs 90 |
| Precisa de 1-3 certificados rápidos com painel | ZeroSSL | Interface web, válidação por email |
| Sensível à privacidade | Let’s Encrypt via GetHTTPS | A chave nunca sai do seu navegador |
| Usuários Google Cloud | Google Trust Services | Integração nativa |
Nossa recomendação
Para a maioria dos sites: Let’s Encrypt é o claro vencedor.
- 63,9% de participação global de mercado — o padrão comprovado
- Sem limites, sem vendas adicionais, sem condições
- Ecossistema massivo de ferramentas
Use GetHTTPS como seu cliente se você quer:
- Zero instalação (apenas navegador)
- Chave privada gerada localmente no seu navegador
- Conexão direta com o Let’s Encrypt, sem intermediários
- Pré-verificação antes do envio do challenge
Evite ferramentas que geram sua chave privada no servidor delas. Se o provedor da ferramenta tem sua chave, a criptografia está quebrada na raiz.
Perguntas frequentes
Certificados SSL grátis são tão seguros quanto os pagos?
Sim. Todos os certificados SSL — grátis ou pagos — usam a mesma criptografia TLS. Um certificado DV grátis do Let’s Encrypt fornece força de criptografia idêntica a um certificado EV de $500. A diferença está no nível de válidação de identidade (DV/OV/EV), não na criptografia. Comparação completa →
Por que alguns provedores limitam certificados grátis a 3?
Modelo de negócio. CAs comerciais (ZeroSSL/Sectigo) usam o tier grátis como funil de marketing para planos pagos. O Let’s Encrypt, como organização sem fins lucrativos, não tem incentivo para limitar a emissão.
O SSL do Cloudflare é um certificado “real”?
O Cloudflare emite um certificado real para seu domínio — mas ele vive nos servidores do Cloudflare, não nos seus. Seus visitantes obtêm conexões criptografadas com o Cloudflare, mas a conexão entre o Cloudflare e sua origem é separada (e pode não ter criptografia no modo “Flexible”). Você não possui nem controla o certificado. Detalhes →
O que acontece quando a validade cair para 47 dias em 2029?
O CA/Browser Forum votou para reduzir a validade máxima para 47 dias. Isso afeta todos os provedores igualmente. A renovação automatizada (Certbot, acme.sh, hospedagem AutoSSL) se torna indispensável. Para fluxos de trabalho manuais (GetHTTPS), você renovaria a cada ~30 dias.
Posso usar múltiplos provedores ao mesmo tempo?
Sim. Você poderia usar Let’s Encrypt para seu site principal, Cloudflare para uma propriedade com CDN e ACM para um load balancer AWS. Certificados de diferentes CAs não entram em conflito.
Qual provedor grátis é melhor para WordPress?
O SSL integrado do seu provedor de hospedagem é o mais simples. Se seu host não inclui, use GetHTTPS para obter um certificado Let’s Encrypt e instale via cPanel. Guia completo de SSL para WordPress →
Como faço para trocar de provedor?
Gere um novo certificado do novo provedor e substitua os arquivos no seu servidor. Sem migração, sem coordenação com o provedor antigo. Os certificados são independentes — substituir um por outro é apenas trocar arquivos.
O Let’s Encrypt é confiável o suficiente para produção?
Sim. O Let’s Encrypt serve 63,9% do mercado e é apoiado por uma organização sem fins lucrativos bem financiada (ISRG) com patrocinadores incluindo Google, Mozilla, Meta e Cisco. Grandes empresas, governos e milhões de sites em produção confiam nele. É mais financeiramente estável do que muitas CAs comerciais.