Todos os artigos sobre SSL SSL e certificados

Melhores Praticas de SSL/TLS para 2026

A configuração SSL/TLS mudou significativamente. Este e o estado atual das melhores praticas para 2026 — o que habilitar, o que desabilitar e o que esta por vir.

Versões de protocolo

ProtocoloStatusAcao
SSL 2.0, 3.0QuebradoDesabilitar — vulnerabilidades criticas (POODLE, DROWN)
TLS 1.0Descontinuado (2021)Desabilitar — vulnerabilidade BEAST
TLS 1.1Descontinuado (2021)Desabilitar — sem suporte a ciphers modernos
TLS 1.2SeguroHabilitar — apenas com ciphers AEAD
TLS 1.3Padrão atualHabilitar — mais rápido, mais seguro

Nginx: ssl_protocols TLSv1.2 TLSv1.3; Apache: SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Cipher suites

TLS 1.3 (nenhuma configuração necessária)

Todas as 5 cipher suites sao seguras. Não tente personalizar — você não pode melhorar.

TLS 1.2 (restringir apenas a AEAD)

# Nginx
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
ssl_prefer_server_ciphers off;

Regras:

  • Apenas suites ECDHE-* — garante forward secrecy
  • Apenas *-GCM-* ou *-CHACHA20-* — apenas ciphers AEAD
  • Sem ciphers CBC — vulneravel a BEAST, Lucky13
  • ssl_prefer_server_ciphers off — deixe o cliente escolher (clientes modernos escolhem a melhor opcao)

Gerenciamento de certificados

PráticaPor que
Use chaves ECDSA P-256Menores, mais rapidas que RSA 2048
Automatize a renovaçãoValidade de 47 dias até 2029 torna a renovação manual impraticavel
Sirva fullchain.pemPrevine erros na cadeia de confiança
Monitore a validade do certificadoConfigure alertas para o dia 60 de 90
Use monitoramento de Certificate TransparencyDetecte certificados não autorizados
Rotacione chaves na renovaçãoNão reutilize chaves privadas entre certificados

Headers de segurança

# HSTS — sempre use HTTPS (comece com max-age curto, aumente depois)
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;

# Prevenir MIME-type sniffing
add_header X-Content-Type-Options "nosniff" always;

# Prevenir clickjacking
add_header X-Frame-Options "SAMEORIGIN" always;

# Atualizar sub-recursos inseguros
add_header Content-Security-Policy "upgrade-insecure-requests" always;

HSTS em detalhes →

Otimizacao de performance

ConfiguraçãoConfigBeneficio
HTTP/2listen 443 ssl http2;Multiplexing, compressao de headers
Cache de sessaossl_session_cache shared:SSL:10m;Evita re-handshake para visitantes recorrentes
Session tickets desligadosssl_session_tickets off;Melhor forward secrecy
OCSP staplingssl_stapling on;Verificação de cert mais rápida, melhor privacidade
Early data (0-RTT)Padrão no TLS 1.3Retomada com zero latencia (use com cautela)

Configuração Nginx completa (pronta para producao)

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name example.com www.example.com;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers off;

    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;

    root /var/www/html;
}

server {
    listen 80;
    listen [::]:80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

Teste: Cole seu domínio no SSL Labs — esta configuração deve obter nota A+.

O que NAO fazer

Ma práticaPor queO que fazer em vez disso
ssl_protocols TLSv1 TLSv1.1;Descontinuados, vulneraveisApenas TLS 1.2 + 1.3
ssl_ciphers ALL;Inclui ciphers fracosLista explicita ECDHE + AEAD
ssl_prefer_server_ciphers on; (TLS 1.3)Desnecessario — ciphers TLS 1.3 sao todos segurosoff
Usar cert.pem em vez de fullchain.pemCadeia ausente → erros de confiançaSempre fullchain.pem para Nginx
Certs auto-assinados em producaoAvisos do navegador, sem confiançaLet’s Encrypt (gratuito)
Mesma chave privada por anosLimita contencao de danosRotacione em cada renovação
Sem HSTSVulneravel a ataques de downgradeHabilite após testar
max-age=0 para HSTSEfetivamente desabilita HSTSComece com 300, aumente para 63072000

Perguntas frequentes

Como testo minha configuração SSL?

SSL Labs Server Test — insira seu domínio, obtenha um relatorio detalhado com nota (A-F). Verifica suporte a protocolos, forca dos ciphers, validade da cadeia e vulnerabilidades conhecidas.

Qual nota devo almejar?

A+ para sites em producao. Isso requer: apenas TLS 1.2+, ciphers AEAD, cadeia válida, HSTS com max-age longo. A configuração acima alcanca A+.

Com que frequencia devo revisar minha configuração SSL?

Anualmente, ou quando uma nova vulnerabilidade e anunciada. Inscreva-se na página de status do Let’s Encrypt e siga o Mozilla SSL Configuration Generator para recomendacoes atualizadas.

Existe uma ferramenta que gera a configuração correta para mim?

Sim — Mozilla SSL Configuration Generator. Selecione seu servidor (Nginx, Apache, etc.), a versão do servidor, e ele gera uma configuração recomendada. O perfil “Modern” corresponde as praticas deste artigo.

Artigos relacionados

SSL e certificados 2026-05-08
O que e TLS 1.3? Tudo que Mudou
TLS 1.3 e o padrão de criptografia atual — handshake mais rápido, sigilo antecipado obrigatório, sem algoritmos legados. Aprenda o que mudou do TLS 1.2, como habilitar, e se você deve forca-lo.
SSL e certificados 2026-05-08
O que é Forward Secrecy (Perfect Forward Secrecy)?
Forward secrecy significa que cada conexão TLS usa uma chave única. Mesmo que a chave privada do seu servidor seja comprometida, conversas passadas não podem ser descriptografadas. Saiba como funciona e como garantir que está habilitado.
SSL e certificados 2026-05-08
HSTS: HTTP Strict Transport Security Explicado
O HSTS instrui os navegadores a sempre usar HTTPS. Saiba como configurar o HSTS, qual max-age usar, quando adicionar preload e os riscos de configurar incorretamente.
Implantacao 2026-05-08
Como Instalar um Certificado SSL no Nginx
Guia passo a passo para instalar um certificado SSL no Nginx. Abrange upload de arquivos, configuração completa do bloco server, boas práticas de TLS, HTTP/2, HSTS, configuração de redirecionamento, testes e solução de 6 erros comuns.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado