Uma Autoridade Certificadora (CA) é uma organização confiavel que emite e assina certificados SSL/TLS. Quando uma CA assina seu certificado, os navegadores confiam que seu site e quem ele afirma ser. Sem as CAs, não haveria forma de verificar que https://seubanco.com e realmente seu banco e não um impostor.
Como o modelo de confiança da CA funciona
- CAs raiz sao pre-instaladas em navegadores e sistemas operacionais. Apple, Google, Mozilla e Microsoft manteem, cada um, uma lista de CAs raiz confiaveis (o “root store”).
- Quando você solicita um certificado, a CA válida sua propriedade do domínio (DV) ou identidade organizacional (OV/EV).
- A CA assina seu certificado com sua chave privada. Essa assinatura e a prova de confiança.
- Quando visitantes se conectam, seu navegador verifica a assinatura contra sua lista pre-instalada de CAs confiaveis.
Se a CA esta no trust store e a assinatura é válida → icone de cadeado. Se não → aviso de segurança.
Principais Autoridades Certificadoras
| CA | Participacao de mercado | Opcao gratuita | Notas |
|---|---|---|---|
| Let’s Encrypt | 63,9% | ✅ Tudo gratuito | Sem fins lucrativos, maior CA globalmente |
| GlobalSign | 22,2% | ❌ | Comercial, popular na Europa |
| Sectigo | 5,9% | Limitado (tier gratuito ZeroSSL) | Anteriormente Comodo, proprietaria da ZeroSSL |
| DigiCert | ~3% | ❌ | Focada em empresas, proprietaria da CA da Symantec |
| Google Trust Services | Crescendo | ✅ Via ACME | CA própria do Google |
| Buypass | <1% | ✅ Go SSL (180 dias) | CA norueguesa |
A participacao de mercado de 63,9% do Let’s Encrypt o torna a CA dominante — mais que as proximas cinco combinadas.
Por que o Let’s Encrypt mudou tudo
Antes do Let’s Encrypt (lancado em 2016):
- Certificados SSL custavam $50-500/ano
- Válidação exigia papelada manual
- Apenas ~18% dos sites usavam HTTPS
Depois do Let’s Encrypt:
- Certificados DV gratuitos para todos
- Totalmente automatizado via protocolo ACME
- 86,9% dos sites usam HTTPS
- Mais de 1 bilhao de certificados emitidos
O Let’s Encrypt provou que criptografia validada por domínio deveria ser um requisito básico, não um produto premium. Use GetHTTPS para obter um certificado Let’s Encrypt no seu navegador.
O CA/Browser Forum
O CA/Browser Forum (CA/B Forum) e o orgao da industria onde Autoridades Certificadoras e fornecedores de navegadores definem conjuntamente padrões para emissão de certificados. Decisoes-chave incluem:
- Baseline Requirements — padrões minimos que todas as CAs publicas devem seguir
- Reducao de validade de certificados — votou para reduzir a validade maxima para 47 dias até 2029
- Certificate Transparency — exige que CAs registrem todos os certificados emitidos em logs publicos
- Obsolescencia de algoritmos fracos — eliminou gradualmente SHA-1, MD5, etc.
Membros incluem Apple, Google, Mozilla, Microsoft (lado dos navegadores) e Let’s Encrypt, DigiCert, Sectigo, GlobalSign (lado das CAs). Decisoes requerem votacao de supermaioria de ambos os lados.
Certificate Transparency
Desde 2018, todas as CAs publicamente confiaveis devem submeter cada certificado emitido a logs de Certificate Transparency (CT) — logs de apenas-adicao publicamente auditaveis. Isso significa:
- Qualquer um pode monitorar quais certificados sao emitidos para seu domínio
- Certificados emitidos incorretamente sao detectaveis (se uma CA emitir um cert para
google.compara alguem que não o controla, o Google pode ver nos logs) - Ferramentas como crt.sh permitem pesquisar logs CT para qualquer domínio
CT não previne emissão incorreta, mas a torna detectavel — o que é um forte dissuasor.
Como escolher uma CA
Para a maioria dos sites, a escolha e simples:
| Necessidade | CA recomendada | Como obter |
|---|---|---|
| Certificado DV gratuito | Let’s Encrypt | GetHTTPS ou Certbot |
| DV gratuito com validade maior | Buypass Go (180 dias) | acme.sh ou Certbot |
| OV/EV para conformidade | DigiCert ou Sectigo | Comprar no site deles |
| Automatico com Cloudflare | Cloudflare | Habilitar no painel Cloudflare |
Compare todos os provedores gratuitos →
Perguntas frequentes
Qualquer um pode se tornar uma CA?
Tecnicamente você pode criar sua própria CA, mas navegadores não vao confia-la a menos que passe pelos Baseline Requirements do CA/Browser Forum e seja adicionada aos trust stores dos navegadores — um processo que leva anos, custa milhoes em auditorias e requer manter segurança operacional rigorosa (chaves raiz offline, modulos de segurança de hardware, resposta a incidentes 24/7).
O que acontece se uma CA for comprometida?
A CA e removida dos trust stores dos navegadores via atualizacoes de software. Todos os certificados emitidos por essa CA se tornam não confiaveis. Incidentes notaveis:
- DigiNotar (2011) — hackeada, emitiu certificados fraudulentos para Google e outros domínios. CA foi revogada e faliu.
- Symantec (2018) — problemas persistentes de emissão incorreta. Google Chrome gradualmente desconfiou de todos os certificados emitidos pela Symantec. DigiCert adquiriu o negocio de CA da Symantec.
Chaves raiz sao armazenadas em modulos de segurança de hardware (HSMs) offline com controles de acesso fisico para minimizar esse risco.
Todos os certificados de CA sao igualmente confiaveis pelos navegadores?
Sim, em termos do icone de cadeado. Um certificado DV gratuito do Let’s Encrypt é um certificado EV de $500 da DigiCert ambos mostram o mesmo cadeado na barra de endereco. Navegadores confiam em todas as CAs em seu root store igualmente para fins de criptografia. As diferencas estao no nível de válidação (DV/OV/EV) e serviços (suporte, garantia), não na forca da criptografia ou confiança do navegador.
Quantas CAs existem?
Ha aproximadamente 100-150 CAs raiz nos principais trust stores, mas o mercado e fortemente concentrado. Let’s Encrypt (63,9%), GlobalSign (22,2%) e Sectigo (5,9%) controlam mais de 90% de todos os certificados emitidos.