Erros de certificado SSL impedem que os visitantes acessem seu site de forma segura. Este guia abrange todos os códigos de erro comuns, o que significam e como corrigi-los — seja você um visitante ou proprietário do site.
Para o erro mais comum especificamente, consulte nosso guia dedicado: Correção de “Sua conexão não é particular” →
Tabela de referência de erros
| Código de erro (Chrome) | Equivalente no Firefox | Significado | Correção |
|---|---|---|---|
NET::ERR_CERT_DATE_INVALID | SEC_ERROR_EXPIRED_CERTIFICATE | Certificado expirado | Renovar certificado |
NET::ERR_CERT_COMMON_NAME_INVALID | SSL_ERROR_BAD_CERT_DOMAIN | Domínio não corresponde ao certificado | Obter certificado para o domínio correto |
NET::ERR_CERT_AUTHORITY_INVALID | SEC_ERROR_UNKNOWN_ISSUER | Autoassinado ou CA não confiável | Usar Let’s Encrypt |
NET::ERR_CERT_REVOKED | SEC_ERROR_REVOKED_CERTIFICATE | Certificado foi revogado | Obter um novo certificado |
NET::ERR_SSL_PROTOCOL_ERROR | SSL_ERROR_RX_RECORD_TOO_LONG | Falha no handshake TLS | Verificar configuração do servidor |
NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH | SSL_ERROR_NO_CYPHER_OVERLAP | Sem versão/cifra TLS em comum | Habilitar TLS 1.2+ |
ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN | — | Pin HPKP não corresponde | Atualizar ou remover pins HPKP |
ERR_CERTIFICATE_TRANSPARENCY_REQUIRED | — | Entrada ausente no log CT | Re-emitir de uma CA compatível com CT |
Soluções detalhadas de erros
ERR_CERT_DATE_INVALID — Certificado expirado
Causa: A data Not After do certificado já passou. Com certificados Let’s Encrypt de 90 dias, isso acontece se você esquecer de renovar.
Correção para visitante: Verifique a data e hora do seu dispositivo — se o relógio estiver errado, certificados válidos parecem expirados.
Correção para proprietário:
# Verificar a validade real
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
Renove imediatamente, substitua os arquivos e recarregue o servidor. Configure monitoramento para prevenir isso no futuro.
ERR_CERT_COMMON_NAME_INVALID — Incompatibilidade de domínio
Causa: O certificado foi emitido para example.com mas você está visitando www.example.com (ou vice-versa), ou o certificado cobre um domínio totalmente diferente.
Correção para proprietário:
# Verificar quais domínios o certificado cobre
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -ext subjectAltName
Obtenha um novo certificado que inclua todos os domínios necessários. No GetHTTPS, adicione tanto example.com quanto www.example.com.
ERR_CERT_AUTHORITY_INVALID — CA não confiável
Causa: O certificado é autoassinado, emitido por uma CA desconhecida, ou a cadeia de confiança intermediária está incompleta.
Correção para proprietário:
- Se autoassinado → substitua por um certificado Let’s Encrypt
- Se a cadeia está incompleta → use
fullchain.pem(Nginx) ou adicioneSSLCertificateChainFile(Apache) - Se CA desconhecida → mude para uma CA confiável
ERR_SSL_PROTOCOL_ERROR — Falha no handshake
Causa: A configuração TLS do servidor está quebrada — caminho errado do certificado, arquivos corrompidos ou configurações mal definidas.
Correção para proprietário:
# Testar a conexão TLS
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com
# Verificar se o certificado e a chave correspondem
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in privkey.pem | openssl md5
# Os hashes devem ser iguais
Causas comuns: caminho de arquivo errado na configuração do servidor, certificado e chave de sessões diferentes, permissões de arquivo muito restritivas.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH — Sem TLS compatível
Causa: O servidor suporta apenas versões antigas do TLS (1.0/1.1) que o navegador abandonou, ou usa conjuntos de cifras que o navegador não suporta.
Correção para proprietário:
# Nginx — habilitar TLS moderno
ssl_protocols TLSv1.2 TLSv1.3;
# Apache
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
Avisos de conteúdo misto
Causa: Sua página HTTPS carrega imagens, scripts ou CSS via HTTP.
Este não é um erro de certificado — o certificado está correto, mas a página referencia recursos inseguros. Guia completo de correção de conteúdo misto →
Fluxo de diagnóstico
Quando você vir qualquer erro de SSL, siga esta sequência:
1. Verifique o código de erro → identifica a categoria
↓
2. Verifique os detalhes do certificado
openssl s_client -connect domain:443 -servername domain
↓
3. Está expirado? → Renovar
Incompatibilidade de domínio? → Re-emitir para o domínio correto
Cadeia incompleta? → Usar fullchain.pem
Autoassinado? → Mudar para Let's Encrypt
Erro de configuração? → Verificar caminhos e permissões de arquivo
↓
4. Após corrigir → recarregar servidor, limpar cache do navegador, verificar
Ferramentas de diagnóstico online
| Ferramenta | URL | O que verifica |
|---|---|---|
| SSL Labs | ssllabs.com/ssltest | Auditoria completa de SSL (nota A-F) |
| SSL Checker | sslshopper.com/ssl-checker | Cadeia, validade, correspondência de domínio |
| Certificate Search | crt.sh | Logs de Certificate Transparency |
| Why No Padlock | whynopadlock.com | Detecção de conteúdo misto |
Perguntas frequentes
Corrigi o erro mas o navegador ainda o mostra
Limpe o cache do navegador (Ctrl+Shift+Delete) ou teste em uma janela anônima. Os navegadores fazem cache de estados SSL, e o HSTS pode forçar uma decisão em cache. No Windows, limpe também o estado SSL: Propriedades da Internet → Conteúdo → Limpar Estado SSL.
O erro aparece em alguns navegadores mas não em outros
Navegadores diferentes possuem diferentes repositórios de confiança e cache. Mais comumente: uma cadeia de certificados incompleta que alguns navegadores podem preencher a partir do cache enquanto outros não. Corrija servindo a cadeia completa no seu servidor.
Como evitar erros de SSL?
- Monitore a validade do certificado — configure alertas para o dia 60 de 90
- Use
fullchain.pemem vez decert.pem— previne erros de cadeia - Inclua todas as variantes de domínio (www + non-www) no seu certificado
- Configure renovação automática com Certbot para servidores de produção
- Teste após cada alteração com SSL Labs