Todos os guias Guia

Como o GetHTTPS funciona

O GetHTTPS é um cliente ACME baseado em navegador que emite certificados HTTPS gratuitos do Let’s Encrypt — sem nenhum componente do lado do servidor.

A arquitetura

Clientes ACME tradicionais como certbot e acme.sh rodam no seu servidor. Eles precisam de acesso ao shell, permissões de root e geralmente um cron job para renovar certificados.

O GetHTTPS adota uma abordagem diferente: tudo roda na aba do seu navegador. Sua chave privada é gerada localmente com a Web Crypto API e nunca sai da página.

Como o fluxo funciona

  1. Geração da chave da conta — Um par de chaves ECDSA P-256 é criado no navegador usando crypto.subtle.generateKey(). Essa chave identifica sua conta ACME.

  2. Registro da conta — A chave pública é registrada na API ACME do Let’s Encrypt. Cada requisição é assinada com JWS (JSON Web Signature).

  3. Criação do pedido — Você especifica quais hostnames o certificado deve cobrir. O Let’s Encrypt retorna um conjunto de desafios.

  4. Conclusao do desafio — Para cada hostname, você completa um desafio HTTP-01 (colocar um arquivo no servidor) ou um desafio DNS-01 (adicionar um registro TXT).

  5. Pre-verificação — Antes de enviar ao Let’s Encrypt, o GetHTTPS verifica sua configuração de desafio a partir da internet pública. Isso detecta erros de digitacao antes de gastar uma tentativa de limite de taxa.

  6. Emissão do certificado — Após os desafios serem aprovados, um par de chaves de certificado separado é gerado, um CSR (Certificate Signing Request) e construido e o pedido e finalizado. O Let’s Encrypt retorna a cadeia de certificados assinada.

  7. Download — Você baixa privkey.pem, cert.pem, chain.pem e fullchain.pem e os implanta no seu servidor.

Modelo de segurança

O GetHTTPS e projetado de forma que nem nos podemos acessar suas chaves privadas.

Chaves privadas nunca saem do navegador

Toda chave — chave da conta e chave do certificado — é gerada usando a Web Crypto API do navegador (crypto.subtle.generateKey()). O material da chave existe apenas na memória JavaScript dentro da sua aba. Nunca e serializado em disco, nunca é enviado pela rede e nunca e acessível ao gethttps.com.

Quando você clica em “Download”, o arquivo PEM é criado no lado do cliente com URL.createObjectURL() e entregue a você como download. O arquivo vai da memória para o seu sistema de arquivos — nunca toca nossos servidores.

Sem backend, sem proxy

Ferramentas de certificado tradicionais executam um processo no lado do servidor. Isso significa que sua chave privada existe em um servidor que você pode não controlar.

O GetHTTPS não tem backend. O site e HTML, CSS e JavaScript estaticos. Seu navegador faz requisições ACME diretamente para acme-v02.api.letsencrypt.org. Nos não fazemos proxy, inspecao ou log dessas requisições.

O que nos vemos e não vemos

Nos vemosNos não vemos
Suas chaves privadas✓ (apenas no navegador)
Seus domínios✓ (enviados diretamente ao Let’s Encrypt)
Requisições ACME✓ (navegador → Let’s Encrypt)
Tokens de desafio✓ (gerados no navegador)
Seu e-mail✓ (enviado apenas ao Let’s Encrypt)

Pre-verificacoes DNS

Para verificação de desafios, o GetHTTPS consulta resolvedores DNS publicos (via API DNS-over-HTTPS do Google). Essas consultas contem apenas o nome do domínio e o registro TXT esperado — nenhum dado privado.

Modelo de ameacas

Contra o que protegemos:

  • Roubo de chave via comprometimento de servidor (não ha servidor para comprometer)
  • Man-in-the-middle no material da chave (chaves nunca saem da aba)
  • Coleta de dados (sem analytics por padrão, sem log no backend)

Contra o que não protegemos:

  • Um navegador comprometido (se seu navegador esta comprometido, não ha garantias)
  • Um provedor DNS comprometido (se um atacante controla seu DNS, pode emitir certificados via DNS-01)
  • Extensões de navegador que podem ler a memória da página

E quanto as renovações?

Os certificados Let’s Encrypt sao validos por 90 dias. Para renovar, volte e execute o mesmo fluxo. Sua chave da conta (se salva) será reconhecida, entao você não precisa se registrar novamente.

Para renovações automatizadas, considere um cliente do lado do servidor como o certbot. O GetHTTPS e projetado para emissão manual e unica, onde você quer controle total e transparencia.

Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado