Após instalar um certificado SSL, você precisa verificar se esta funcionando corretamente — certificado correto, cadeia completa, TLS moderno, sem erros. Aqui estao as melhores ferramentas para cada verificação.
Ferramentas online
SSL Labs Server Test (mais abrangente)
URL: ssllabs.com/ssltest
O padrão da industria para testes SSL. Insira seu domínio e obtenha um relatorio detalhado com nota de A+ a F.
O que verifica:
- Validade do certificado e completude da cadeia
- Suporte a protocolos (TLS 1.0/1.1/1.2/1.3)
- Forca e ordem das cipher suites
- Vulnerabilidades conhecidas (POODLE, Heartbleed, DROWN, ROBOT)
- Configuração HSTS
- OCSP stapling
- Registros DNS CAA
- Certificate Transparency
Alvo: Nota A+ (requer TLS 1.2+, ciphers AEAD, HSTS com max-age longo)
Quando usar: Após a configuração inicial, após mudanças na configuração e periodicamente (mensalmente).
SSL Shopper SSL Checker
URL: sslshopper.com/ssl-checker
Verificação rápida focada na validade do certificado e cadeia.
O que verifica:
- Certificado instalado corretamente
- Cadeia completa (intermediário presente)
- Certificado corresponde ao domínio
- Data de expiração
Quando usar: Verificação rápida “esta funcionando?” — mais rápido que o SSL Labs.
crt.sh (busca em Certificate Transparency)
URL: crt.sh
Busca nos logs de Certificate Transparency todos os certificados já emitidos para um domínio.
Quando usar: Monitorar certificados não autorizados, verificar se seu certificado foi registrado, verificar historico de emissão.
Why No Padlock
URL: whynopadlock.com
Escaneia uma página especifica em busca de conteúdo misto — recursos HTTP em uma página HTTPS.
Quando usar: Quando o cadeado mostra um aviso ou esta ausente apesar de ter um certificado válido.
Ferramentas de linha de comando
Verificacoes rapidas com OpenSSL
# Verificar se HTTPS funciona
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Verify return code"
# 0 (ok) = bom
# Mostrar expiração do certificado
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
# Mostrar detalhes completos do certificado
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text
# Verificar versão TLS negociada
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Protocol"
# Testar versão TLS especifica
echo | openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | grep "Protocol"
Guia rápido completo do OpenSSL →
curl para teste rápido de HTTPS
# Verificação básica de HTTPS
curl -I https://yourdomain.com
# Mostrar informações do certificado
curl -vI https://yourdomain.com 2>&1 | grep -E 'subject:|issuer:|expire'
# Verificar redirecionamento de HTTP
curl -ILs http://yourdomain.com | grep -E '^HTTP|^Location'
nmap para enumeracao de ciphers
nmap --script ssl-enum-ciphers -p 443 yourdomain.com
Mostra todas as cipher suites que o servidor suporta, agrupadas por versão TLS.
O que verificar e quando
| Quando | O que verificar | Ferramenta |
|---|---|---|
| Após instalar um cert | Cadeia completa, domínio corresponde | SSL Shopper (rápido) |
| Após mudanças na config | Auditoria completa (nota, ciphers, vulns) | SSL Labs (completo) |
| Mensalmente | Expiração se aproximando | Script de monitoramento |
| Após migração | Conteúdo misto | Why No Padlock |
| Continuamente | Certificados não autorizados | crt.sh / monitoramento CT |
| Depurando erros | Detalhes da conexão | OpenSSL s_client |
Interpretando as notas do SSL Labs
| Nota | Significado | Problemas comuns |
|---|---|---|
| A+ | Excelente | Tem HSTS com max-age longo |
| A | Bom | HSTS ausente ou max-age curto |
| B | OK mas precisa de melhorias | Cipher suites antigas, TLS 1.0/1.1 habilitado |
| C | Configuração fraca | Ciphers vulneraveis, sem forward secrecy |
| F | Problemas serios | Vulnerabilidade conhecida, cert expirado |
| T | Certificado não confiavel | Auto-assinado, domínio errado, cadeia incompleta |
Melhores praticas SSL para alcancar A+ →
Perguntas frequentes
Com que frequencia devo testar?
Após qualquer mudança relacionada a SSL, e pelo menos mensalmente como parte do monitoramento. Os resultados do SSL Labs sao cacheados por algumas horas — adicione &clearCache=on para forcar um novo escaneamento.
O SSL Labs e seguro de usar? Ele expoe meu site?
Sim, e seguro. O SSL Labs se conecta ao seu servidor da mesma forma que qualquer navegador faria. Ele não modifica nada nem expoe vulnerabilidades. Os resultados sao publicos por padrão — marque “Do not show the results on the boards” se preferir privacidade.
Meu site recebe A no SSL Labs mas ainda mostra “Não Seguro”
A nota do SSL Labs cobre a configuração TLS do servidor. “Não Seguro” no navegador também pode vir de: conteúdo misto (verifique com Why No Padlock), redirecionamento ausente de HTTP, ou acessando via HTTP diretamente. Esses sao problemas no nível da página, não no nível do servidor.
Posso automatizar testes SSL?
O SSL Labs tem uma API gratuita: api.ssllabs.com/api/v3/analyze?host=yourdomain.com. Você pode integra-la em pipelines CI/CD ou de monitoramento. Para verificacoes mais simples, use os comandos OpenSSL em um script cron.