GetHTTPS e Certbot ambos emitem certificados SSL gratuitos do Let’s Encrypt, mas adotam abordagens fundamentalmente diferentes. GetHTTPS roda no seu navegador — zero instalação, zero acesso ao servidor. Certbot roda no seu servidor como ferramenta de linha de comando com renovação automática e integração com servidores web.
Ambas as ferramentas produzem exatamente os mesmos certificados Let’s Encrypt. A diferença está inteiramente em como você chega lá. Este guia compara todas as dimensões para que você escolha a ferramenta certa para sua situação.
O que é GetHTTPS?
GetHTTPS é um cliente ACME baseado em navegador. Você abre uma página web, insere seu domínio, completa um challenge e baixa seus arquivos de certificado. Sem software para instalar, sem conta para criar, sem necessidade de acesso ao servidor.
Sua chave privada é gerada no navegador usando a Web Crypto API e nunca sai do seu dispositivo — nem mesmo para os servidores do GetHTTPS. A ferramenta se comunica diretamente com a API ACME do Let’s Encrypt sem proxy ou middleware.
GetHTTPS é gratuito para usar.
O que é Certbot?
Certbot é o cliente ACME oficial recomendado pelo Let’s Encrypt, mantido pela Electronic Frontier Foundation (EFF). É uma ferramenta Python de linha de comando que roda no seu servidor, obtém certificados, configura seu servidor web e gerencia a renovação automática.
Certbot requer acesso root/sudo e é tipicamente instalado via snap, pip ou Docker. É open source (licença Apache 2.0) é gratuito.
Tabela de comparação completa
| Recurso | GetHTTPS | Certbot |
|---|---|---|
| Roda em | Aba do navegador | Linha de comando do servidor |
| Instalação | Nenhuma — abra uma URL | snap, pip ou Docker |
| Acesso ao servidor necessário | Não | Sim (root/sudo) |
| Sistema operacional | Qualquer (apenas navegador) | Linux, macOS (Windows descontinuado) |
| Geração de chave privada | Navegador (Web Crypto API) | Servidor (OpenSSL/Python) |
| Armazenamento de chave privada | Baixada por você | /etc/letsencrypt/ no servidor |
| Renovação automática | ❌ Re-visita manual | ✅ timer systemd / cron |
| Auto-configuração do servidor web | ❌ Manual | ✅ Plugins Nginx/Apache |
| Tipos de challenge | HTTP-01, DNS-01 | HTTP-01, DNS-01, TLS-ALPN-01 |
| Pré-verificação antes do envio | ✅ | ❌ |
| Suporte a wildcard | ✅ (DNS-01) | ✅ (DNS-01) |
| Multi-domínio (SAN) | ✅ (até 100) | ✅ (até 100) |
| Chaves ECDSA | ✅ P-256 (padrão) | ✅ (flag necessária) |
| Dependências | Nenhuma | Python, snapd ou Docker |
| Autoridade certificadora | Let’s Encrypt | Let’s Encrypt (padrão), outras |
| Open source | Não | Sim (Apache 2.0) |
| Preço | Grátis | Grátis |
Quando usar GetHTTPS
Você não tem acesso SSH ao servidor
Este é o cenário mais claro. Hospedagem compartilhada, WordPress gerenciado, um servidor atrás de um firewall corporativo — se você não pode instalar software, GetHTTPS é sua única opção baseada em navegador que mantém as chaves privadas locais.
Você obtém os arquivos de certificado (privkey.pem, fullchain.pem) e faz upload pelo método que seu host oferece: cPanel, Plesk, FTP ou gerenciador de arquivos.
Você quer zero instalação e zero dependências
Abra uma aba do navegador, obtenha seu certificado, pronto. Sem conflitos de versão Python, sem problemas de confinamento snap, sem imagens Docker. Se você já passou 30 minutos debugando por que certbot não instala no seu sistema, você sabe por que isso importa.
GetHTTPS funciona em qualquer sistema operacional com navegador moderno — incluindo Windows, macOS, ChromeOS e até um tablet em emergência.
Você quer máximo controle sobre sua chave privada
GetHTTPS gera a chave privada no seu navegador usando a Web Crypto API. A chave existe apenas na memória do navegador até você clicar em download. Ela nunca é escrita em disco em nenhum servidor, nunca transmitida pela rede, nunca armazenada em lugar algum que você não possa ver.
Com Certbot, a chave é gerada no servidor é armazenada em /etc/letsencrypt/live/seudominio/privkey.pem. Isso é adequado se você confia no servidor — mas qualquer pessoa com acesso root pode lê-la. Em ambientes de nuvem com infraestrutura compartilhada, isso importa.
Você está obtendo um certificado para outra pessoa
DevOps gerando um certificado para o servidor de um cliente. Ajudando um colega não técnico. Obtendo um certificado para um servidor que você não gerencia. GetHTTPS permite gerar o certificado e entregar os arquivos sem acessar o servidor da outra pessoa.
Você precisa de um certificado rápido e avulso
Ambiente de staging. Implantação de teste. Novo projeto onde você ainda não configurou automação. GetHTTPS te dá um certificado em 3-5 minutos com zero overhead de configuração.
Quando usar Certbot
Você quer renovação automática (o motivo #1)
O recurso matador do Certbot: um timer systemd (ou cron job) que renova certificados antes que expirem. Sem intervenção manual, sem renovações esquecidas, sem correria às 3 da manhã quando um certificado expira na sexta-feira.
# Certbot verifica duas vezes ao dia, renova se estiver a 30 dias do vencimento
sudo systemctl list-timers | grep certbot
# NEXT LEFT UNIT
# 2026-05-08 14:22:00 UTC 3h left snap.certbot.renew.timer
Com a validade de 90 dias do Let’s Encrypt (e a próxima validade de 47 dias), renovação automática não é um luxo — é essencial para servidores de produção.
Você quer configuração automática do servidor web
Os plugins --nginx e --apache do Certbot modificam a configuração do seu servidor para habilitar HTTPS — incluindo diretivas SSL, redirecionamentos e configurações de cipher recomendadas. Um único comando faz tudo:
# Certbot obtém o certificado E configura o Nginx
sudo certbot --nginx -d example.com -d www.example.com
# O que ele faz por trás das cenas:
# 1. Gera um par de chaves
# 2. Prova controle do domínio (HTTP-01 na porta 80)
# 3. Obtém o certificado do Let's Encrypt
# 4. Escreve ssl_certificate/ssl_certificate_key na configuração do Nginx
# 5. Adiciona redirecionamento de HTTP para HTTPS
# 6. Recarrega o Nginx
Com GetHTTPS, você faz tudo isso manualmente — obtém o certificado, faz upload dos arquivos, edita a configuração, configura o redirecionamento, recarrega o servidor. Mais controle, mas mais trabalho.
Você gerencia infraestrutura em escala
Certbot pode ser scriptado, containerizado e implantado com ferramentas de gerenciamento de configuração:
# Trecho de playbook Ansible
- name: Install certbot
snap:
name: certbot
classic: true
- name: Get certificate
command: certbot --nginx -d {{ domain }} --non-interactive --agree-tos -m {{ email }}
Para 10+ servidores, Certbot scriptado é mais rápido do que visitar GetHTTPS para cada um.
Você precisa de challenges TLS-ALPN-01
Este tipo de challenge válida pela porta 443 sem colocação de arquivo ou modificação DNS. É útil quando a porta 80 está bloqueada e você não pode modificar o DNS. Apenas clientes CLI (Certbot, acme.sh) suportam — clientes baseados em navegador não.
Comparação de instalação
GetHTTPS — zero passos
Abra gethttps.com/app/setup no seu navegador.
Isso é tudo. Funciona agora mesmo, em qualquer dispositivo, sem configuração prévia.
Certbot — vários passos dependendo do SO
Ubuntu/Debian (snap — recomendado pelo Certbot):
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
pip (qualquer Linux, quando snap não está disponível):
sudo pip install certbot certbot-nginx
Docker (isolamento dos pacotes do sistema):
docker run -it --rm \
-v /etc/letsencrypt:/etc/letsencrypt \
-v /var/www/html:/var/www/html \
certbot/certbot certonly --webroot -w /var/www/html -d example.com
Amazon Linux 2023:
sudo dnf install certbot python3-certbot-nginx
Problemas comuns de instalação:
- Erros de confinamento snap em instalações Linux não padrão
- Conflitos de versão Python com pip install
- Pacote de plugin
python3-certbot-nginxausente - Erros de permissão exigindo sudo/root
GetHTTPS evita todos estes — sem instalação significa sem problemas de instalação.
Comparação de fluxo de trabalho
Obtendo um certificado com GetHTTPS
- Abra gethttps.com/app/setup
- Insira seu(s) domínio(s)
- Escolha challenge HTTP-01 ou DNS-01
- Coloque o arquivo de challenge ou adicione o registro DNS
- GetHTTPS pré-verifica o challenge antes de enviar (detecta erros cedo)
- Baixe
privkey.pem,cert.pem,chain.pem,fullchain.pem - Faça upload para seu servidor
- Configure seu servidor web (Nginx, Apache, outros)
- Configure o redirecionamento HTTP→HTTPS
Tempo: 5-10 minutos na primeira vez, 3-5 minutos para renovações.
Obtendo um certificado com Certbot
Modo de auto-configuração (mais comum):
sudo certbot --nginx -d example.com -d www.example.com
Modo standalone (sem integração com servidor web):
sudo certbot certonly --standalone -d example.com
Modo webroot (servidor continua rodando):
sudo certbot certonly --webroot -w /var/www/html -d example.com
Challenge DNS (wildcards):
sudo certbot certonly --manual --preferred-challenges dns -d "*.example.com"
Tempo: 2-5 minutos (após a instalação estar pronta).
Comparação de privacidade e segurança
| Aspecto | GetHTTPS | Certbot |
|---|---|---|
| Geração de chave privada | Navegador (Web Crypto API) | Servidor (OpenSSL via Python) |
| Chave existe em | Apenas sua pasta de downloads | Sistema de arquivos do servidor |
| Chave exposta para | Apenas você | Qualquer pessoa com root no servidor |
| Comunicação ACME | Navegador → Let’s Encrypt (HTTPS direto) | Servidor → Let’s Encrypt (HTTPS direto) |
| Proxy/middleware | Nenhum | Nenhum |
| Dados de conta | No navegador, sem email necessário | No servidor, email opcional |
| Telemetria | Nenhuma | Prompt de inscrição por email da EFF (pulável) |
| Auditoria de código | Apenas navegador, inspecionável via DevTools | Apache 2.0, ~50K LOC Python |
Conclusão: Ambos se conectam diretamente ao Let’s Encrypt sem intermediários. A diferença de segurança está em onde a chave privada vive. Com GetHTTPS, você a baixa e decide. Com Certbot, ela fica no servidor — normal para certificados gerenciados pelo servidor, mas significa que a chave é acessível a qualquer pessoa com acesso ao sistema.
Comparação de renovação
| GetHTTPS | Certbot | |
|---|---|---|
| Processo | Re-visite o site, complete novo challenge, substitua arquivos | Automático (timer systemd verifica duas vezes ao dia) |
| Esforço humano | 3-5 min por renovação | Zero após configuração inicial |
| Detecção de falha | Você nota quando o site quebra | Logs + alertas opcionais por email |
| Frequência de renovação | A cada 60-90 dias (manual) | A cada 60 dias (automático) |
| Com certificados de 47 dias (2029) | A cada ~30 dias manual — doloroso | Ainda automático — sem mudança |
Esta é a maior vantagem do Certbot. Para servidores de produção, renovação automática não é opcional.
A abordagem híbrida (o melhor dos dois mundos)
Muitas equipes usam ambas as ferramentas:
- GetHTTPS para o primeiro certificado — Zero tempo de configuração. Tenha o HTTPS funcionando em 5 minutos sem instalar nada no servidor.
- Certbot para renovação contínua — Uma vez que o servidor esteja configurado e estável, instale o Certbot para renovação automática.
Isso é especialmente comum no fluxo de trabalho “faça funcionar agora, automatize depois”. Você não precisa escolher um para sempre — os arquivos PEM são formato padrão, e o Certbot pode renovar um domínio originalmente certificado pelo GetHTTPS.
O veredito
| Sua situação | Ferramenta recomendada | Por quê |
|---|---|---|
| Sem acesso SSH/root (hospedagem compartilhada) | GetHTTPS | Única opção sem acesso ao servidor |
| Certificado avulso rápido | GetHTTPS | Mais rápido que instalar Certbot |
| Máxima privacidade da chave privada | GetHTTPS | Chave nunca em nenhum servidor |
| Obtendo certificado para outra pessoa | GetHTTPS | Não precisa de acesso ao servidor deles |
| Servidor de produção, longo prazo | Certbot | Renovação automática é essencial |
| Auto-configuração Nginx/Apache | Certbot | Um comando faz tudo |
| Gerenciando 10+ servidores | Certbot | Scriptável e automatizável |
| Primeira configuração + longo prazo | Ambos | GetHTTPS para começar, Certbot para manter |
Ambas as ferramentas são gratuitas e produzem certificados Let’s Encrypt idênticos. Certbot é open source (Apache 2.0). GetHTTPS é gratuito mas não open source — embora como ferramenta baseada em navegador, seu JavaScript é inspecionável via DevTools. O certificado em si é o mesmo — cert.pem do GetHTTPS é byte-a-byte equivalente ao que o Certbot produz para o mesmo domínio. A diferença está inteiramente no fluxo de trabalho.
Comece com GetHTTPS se você quer ter HTTPS funcionando agora mesmo: gethttps.com/app/setup
Adicione Certbot depois se você precisa de renovação automática: certbot.eff.org
Perguntas frequentes
GetHTTPS é tão confiável quanto Certbot?
Ambas as ferramentas conversam com a mesma API ACME do Let’s Encrypt e produzem os mesmos certificados. GetHTTPS adiciona um passo de pré-verificação que válida a configuração do seu challenge antes de enviar — isso detecta erros que o Certbot só descobre após o challenge falhar é uma tentativa de rate limit ser consumida.
Posso trocar de GetHTTPS para Certbot (ou vice-versa)?
Sim. Os arquivos de certificado são formato PEM padrão. Você pode gerar um certificado com GetHTTPS hoje e configurar Certbot para renovação amanhã — ou usar Certbot por anos e trocar para GetHTTPS quando precisar de uma re-emissão rápida sem acesso ao servidor. As ferramentas não conflitam e não sabem uma da outra.
GetHTTPS suporta renovação automática?
Não. GetHTTPS foi projetado para emissão de certificados manual, sob demanda. Se você precisa de renovação automática, use Certbot ou acme.sh no servidor. A abordagem híbrida (GetHTTPS primeiro, Certbot para renovação) te dá o melhor dos dois mundos.
Certbot é difícil de instalar?
Depende do seu sistema. No Ubuntu moderno, sudo snap install --classic certbot funciona em 10 segundos. Em sistemas mais antigos, ambientes personalizados ou Linux não padrão, conflitos de dependência Python são comuns. GetHTTPS evita a instalação por completo — sem instalação significa sem problemas de instalação.
E o acme.sh como alternativa?
acme.sh é um cliente ACME em shell script que não requer root e tem 150+ plugins de API DNS. Ele fica entre GetHTTPS (simplicidade) e Certbot (automação). Se você quer automação CLI sem root e com melhor integração DNS, acme.sh vale a pena considerar.
O que acontece quando a validade do certificado cair para 47 dias?
O CA/Browser Forum votou para reduzir a validade máxima para 47 dias até 2029. Isso torna a renovação automática do Certbot ainda mais importante — renovar manualmente a cada 30 dias é possível mas tedioso. GetHTTPS continuará funcionando para certificados avulsos, renovações de emergência e cenários sem acesso, mas não substituirá a renovação automatizada como método primário para sites de produção.
Qual é mais seguro?
Ambos são seguros. Os certificados são idênticos. A principal diferença de segurança:
- GetHTTPS: Chave privada nunca existe em nenhum servidor (gerada no navegador, baixada por você)
- Certbot: Chave privada vive no sistema de arquivos do servidor (legível pelo root)
Para a maioria das configurações, a chave no servidor do Certbot é adequada. Para cenários de alta segurança onde você quer minimizar a exposição da chave, o modelo exclusivamente no navegador do GetHTTPS é mais rigoroso.
Certbot pode fazer certificados wildcard?
Sim, via challenge DNS-01. Mas o fluxo de trabalho wildcard do Certbot é mais manual que o fluxo HTTP-01 — você precisa adicionar um registro DNS TXT e pode precisar de um plugin DNS. GetHTTPS gerencia certificados wildcard da mesma forma (guia).