Certificados Let’s Encrypt fornecem a mesma força de criptografia que certificados custando $100-$500 por ano. Os algoritmos de criptografia, tamanhos de chave e protocolos TLS são idênticos. Um visitante do seu site não consegue perceber a diferença em segurança.
Então por que certificados pagos existem? E você precisa de um?
Resposta curta: a maioria dos sites não precisa. O restante deste artigo explica as diferenças reais — não o marketing.
Comparação rápida
| Aspecto | Let’s Encrypt (grátis) | SSL pago (CA comercial) |
|---|---|---|
| Força de criptografia | Mesma (TLS 1.2/1.3, AES-256) | Mesma |
| Tipos de chave | RSA 2048/4096, ECDSA P-256/P-384 | Mesmos |
| Nível de válidação | Apenas DV | DV, OV, EV |
| Validade do certificado | 90 dias | 1 ano (diminuindo para 47 dias até 2029) |
| Wildcard | ✅ (grátis) | ✅ |
| Multi-domínio (SAN) | ✅ (até 100 nomes) | ✅ |
| Garantia | Nenhuma | $10K – $1,75M |
| Suporte técnico | Fórum da comunidade | Suporte dedicado |
| Confiança dos navegadores | Todos os principais navegadores | Todos os principais navegadores |
| Barra verde / nome da org | Não (DV) | Não — removido dos navegadores em 2019 |
| Selo do site | Não | Sim (badge de marketing) |
| Custo por domínio/ano | $0 | $50 – $500+ |
A criptografia é idêntica
Este é o ponto mais importante e aquele que CAs comerciais obscurecem em seu marketing: a criptografia é a mesma.
Um certificado DV do Let’s Encrypt é um certificado EV da DigiCert de $500 ambos:
- Usam os mesmos protocolos TLS 1.2/1.3
- Negociam os mesmos conjuntos de cifras (AES-256-GCM, ChaCha20-Poly1305)
- Usam os mesmos mecanismos de troca de chaves (ECDHE)
- Fornecem o mesmo forward secrecy
- São igualmente confiáveis por todos os navegadores e sistemas operacionais
Nenhuma CA comercial usa “criptografia melhor”. Os padrões são definidos pela especificação TLS, não pela CA. Pagar mais compra válidação e serviços — nunca criptografia mais forte.
O que você realmente está pagando
1. Nível de válidação (DV vs OV vs EV)
A única diferença técnica substantiva:
| Nível | O que a CA verifica | Quanto tempo | Exibição no navegador (2026) |
|---|---|---|---|
| DV | Você controla o domínio | Minutos (automatizado) | Cadeado |
| OV | Domínio + organização existe | 1-3 dias | Cadeado (mesmo que DV) |
| EV | Domínio + auditoria completa da org | 1-2 semanas | Cadeado (mesmo que DV) |
Todos os três mostram o mesmo cadeado em todos os principais navegadores. Não há diferença visual.
2. A barra verde sumiu
CAs comerciais ainda vendem certificados EV como mostrando “a barra de endereço verde com o nome da sua empresa”. Isso está desatualizado.
Cronologia da remoção da barra verde:
- Chrome 69 (setembro 2018): Removeu o rótulo verde “Seguro”
- Chrome 77 (setembro 2019): Removeu o nome da organização EV da barra de endereço
- Firefox 70 (outubro 2019): Removeu o indicador EV
- Safari (2020): Removeu a distinção EV
- Edge: Segue o Chrome
Em 2026, nenhum navegador principal mostra qualquer diferença visual entre certificados DV, OV e EV. Usuários ainda podem ver detalhes da organização clicando no cadeado → Certificado, mas quase ninguém faz isso.
Isso remove o principal argumento de marketing para certificados EV.
3. Garantia
Certificados pagos incluem uma “garantia” — tipicamente $10K a $1,75M. Mas leia as letras miúdas:
- Ela cobre emissão incorreta pela CA — se a CA emite um certificado para alguém que não controla o domínio, é um visitante sofre perda financeira como resultado direto
- Ela NÃO cobre se seu site for hackeado
- Ela NÃO cobre vazamentos de dados
- Ela NÃO cobre ataques de phishing
- Reivindicações exigem provar que a CA cometeu um erro no processo de válidação
Nenhum pagamento significativo de garantia foi documentado publicamente. A garantia é uma ferramenta de marketing, não um benefício de segurança significativo.
4. Suporte técnico
Let’s Encrypt: fórum da comunidade (letsencrypt.org/community). Sem telefone, sem email, sem sistema de tickets.
CAs comerciais: suporte por email, telefone e chat, com SLAs para planos enterprise.
Quando isso importa: Grandes empresas com requisitos de conformidade que exigem “suporte do fornecedor” para todos os componentes de infraestrutura. Se sua lista de verificação de compras tem uma linha de “contrato de suporte”, você precisa de uma CA paga.
Quando isso não importa: Para a maioria das equipes que conseguem seguir um tutorial e pesquisar mensagens de erro.
5. Selos do site
Algumas CAs pagas fornecem um “selo de confiança” — um badge que você pode exibir no site. Estudos do início dos anos 2010 mostraram que estes aumentavam taxas de conversão.
A realidade em 2026: A maioria dos usuários não reconhece logos de CAs. O ícone do cadeado (que todos os certificados recebem) é o indicador universal de confiança. Nenhum estudo controlado mostrou que um selo da DigiCert ou Sectigo supera apenas o cadeado em sites modernos.
Quando Let’s Encrypt é suficiente (90%+ dos sites)
Certificados DV do Let’s Encrypt são suficientes para:
- Sites pessoais e blogs — DV fornece criptografia completa
- Aplicações SaaS — Google, Facebook e inúmeras empresas SaaS usam certificados DV
- APIs e microsserviços — sem preocupação de confiança voltada ao usuário
- E-commerce — PCI DSS exige criptografia, não OV/EV. Stripe, PayPal e processadores de pagamento lidam com dados sensíveis de cartão de qualquer forma.
- Startups e pequenas empresas — economize $50-500/ano por domínio
- Ferramentas internas — sem requisito de confiança externa
- Staging/desenvolvimento — sem razão para pagar por ambientes de teste
Quando você realmente precisa de SSL pago
Você deve considerar um certificado pago apenas se uma destas condições se aplica:
1. Conformidade ou compras exigem OV/EV
Alguns compradores enterprise, agências governamentais ou frameworks de conformidade específicos da indústria exigem certificados OV ou EV. Isso é um checkbox de compras — não um requisito de segurança. Verifique a regulamentação real antes de assumir.
2. Seu auditor exige identidade organizacional no certificado
Algumas auditorias de segurança ou controles SOC 2 especificam que certificados devem incluir identidade organizacional. Certificados OV/EV incorporam o nome legal da sua organização nos metadados do certificado. (Embora a maioria dos auditores aceite DV com justificativa adequada.)
3. Requisitos de seguro
Em casos raros, sua apólice de seguro cibernético pode fazer referência a garantias de certificados. Verifique com sua seguradora.
A mudança para validade de 47 dias
O CA/Browser Forum votou para reduzir a validade máxima para 47 dias até 2029:
| Data | Validade máxima |
|---|---|
| Antes de março 2026 | 398 dias (1 ano) |
| Março 2026 | 200 dias |
| Março 2027 | 100 dias |
| Março 2029 | 47 dias |
Isso elimina a última vantagem prática dos certificados pagos: maior validade. Até 2029, certificados pagos e gratuitos precisarão ser renovados mensalmente. A proposta de valor “configure e esqueça” de certificados de 1 ano está desaparecendo.
Análise de custos
| Cenário | Let’s Encrypt | Pago (DigiCert DV) | Pago (Sectigo OV) | Economia |
|---|---|---|---|---|
| 1 domínio, 1 ano | $0 | $268 | $88 | $88-268 |
| 5 domínios, 1 ano | $0 | $1.340 | $440 | $440-1.340 |
| Wildcard, 1 ano | $0 | $528 | $245 | $245-528 |
| 10 domínios, 5 anos | $0 | $13.400 | $4.400 | $4.400-13.400 |
Para uma empresa com 10 domínios ao longo de 5 anos: $4.400 a $13.400 economizados com criptografia idêntica.
O veredito
| Sua situação | Recomendação |
|---|---|
| Site pessoal, blog, portfólio | Let’s Encrypt — sem razão para pagar |
| Startup, pequena empresa | Let’s Encrypt — gaste os $200/ano em algo útil |
| SaaS, API, e-commerce | Let’s Encrypt — DV é suficiente, PCI DSS concorda |
| Enterprise com checkbox de compras OV/EV | Pago — mas apenas por causa do checkbox |
| Indústria regulada que exige OV/EV por política | Pago — verifique a regulamentação real primeiro |
| Todos os outros | Let’s Encrypt |
Obtenha seu certificado grátis agora: GetHTTPS — 5 minutos, sem instalação, chave privada fica no seu navegador.
Perguntas frequentes
O Google ranqueará meu site mais baixo com um certificado SSL grátis?
Não. O Google confirmou que o tipo de certificado SSL (DV, OV, EV) não afeta o ranking de busca. Qualquer certificado HTTPS válido fornece o mesmo sinal de SEO.
Um certificado grátis é seguro para e-commerce?
Sim. PCI DSS (o padrão da indústria de cartões de pagamento) exige conexões criptografadas mas não especifica um nível de válidação. Certificados DV atendem aos requisitos PCI. Seu processador de pagamentos (Stripe, PayPal, Square) cuida das partes mais sensíveis da segurança de pagamento — não seu certificado.
Clientes confiam menos em SSL grátis?
Clientes veem o mesmo ícone de cadeado independentemente do tipo de certificado. Desde 2019, nenhum navegador principal mostra qualquer diferença visual entre DV, OV e EV. A barra de endereço verde sumiu. Usuários confiam no cadeado — não na marca da CA.
O que acontece se o Let’s Encrypt fechar?
Let’s Encrypt é administrado pelo Internet Security Research Group (ISRG), apoiado por Mozilla, Google, EFF, Meta, Cisco e outros. É a maior CA do mundo (63,9% de participação de mercado). Embora qualquer organização possa teoricamente fechar, o ISRG é mais financeiramente estável do que muitas CAs comerciais.
Posso fazer upgrade do Let’s Encrypt para pago depois?
Sim. Compre um certificado pago e substitua os arquivos no seu servidor. Sem migração, sem downtime se feito antes do certificado antigo expirar. O servidor não se importa com qual CA emitiu o certificado.
Por que CAs comerciais dizem que certificados grátis são menos seguros?
Porque eles vendem certificados pagos. A criptografia é idêntica — isso é definido pelo padrão TLS, não pela CA. CAs comerciais não podem oferecer “criptografia melhor” porque a especificação não permite. Eles se diferenciam em nível de válidação, garantia e suporte — nenhum dos quais afeta a força da criptografia.