Todos os artigos sobre SSL SSL e certificados

O que é uma Autoridade Certificadora (CA)?

Uma Autoridade Certificadora (CA) é uma organização confiavel que emite e assina certificados SSL/TLS. Quando uma CA assina seu certificado, os navegadores confiam que seu site e quem ele afirma ser. Sem as CAs, não haveria forma de verificar que https://seubanco.com e realmente seu banco e não um impostor.

Como o modelo de confiança da CA funciona

  1. CAs raiz sao pre-instaladas em navegadores e sistemas operacionais. Apple, Google, Mozilla e Microsoft manteem, cada um, uma lista de CAs raiz confiaveis (o “root store”).
  2. Quando você solicita um certificado, a CA válida sua propriedade do domínio (DV) ou identidade organizacional (OV/EV).
  3. A CA assina seu certificado com sua chave privada. Essa assinatura e a prova de confiança.
  4. Quando visitantes se conectam, seu navegador verifica a assinatura contra sua lista pre-instalada de CAs confiaveis.

Se a CA esta no trust store e a assinatura é válida → icone de cadeado. Se não → aviso de segurança.

Principais Autoridades Certificadoras

CAParticipacao de mercadoOpcao gratuitaNotas
Let’s Encrypt63,9%✅ Tudo gratuitoSem fins lucrativos, maior CA globalmente
GlobalSign22,2%Comercial, popular na Europa
Sectigo5,9%Limitado (tier gratuito ZeroSSL)Anteriormente Comodo, proprietaria da ZeroSSL
DigiCert~3%Focada em empresas, proprietaria da CA da Symantec
Google Trust ServicesCrescendo✅ Via ACMECA própria do Google
Buypass<1%✅ Go SSL (180 dias)CA norueguesa

A participacao de mercado de 63,9% do Let’s Encrypt o torna a CA dominante — mais que as proximas cinco combinadas.

Por que o Let’s Encrypt mudou tudo

Antes do Let’s Encrypt (lancado em 2016):

  • Certificados SSL custavam $50-500/ano
  • Válidação exigia papelada manual
  • Apenas ~18% dos sites usavam HTTPS

Depois do Let’s Encrypt:

  • Certificados DV gratuitos para todos
  • Totalmente automatizado via protocolo ACME
  • 86,9% dos sites usam HTTPS
  • Mais de 1 bilhao de certificados emitidos

O Let’s Encrypt provou que criptografia validada por domínio deveria ser um requisito básico, não um produto premium. Use GetHTTPS para obter um certificado Let’s Encrypt no seu navegador.

O CA/Browser Forum

O CA/Browser Forum (CA/B Forum) e o orgao da industria onde Autoridades Certificadoras e fornecedores de navegadores definem conjuntamente padrões para emissão de certificados. Decisoes-chave incluem:

  • Baseline Requirements — padrões minimos que todas as CAs publicas devem seguir
  • Reducao de validade de certificados — votou para reduzir a validade maxima para 47 dias até 2029
  • Certificate Transparency — exige que CAs registrem todos os certificados emitidos em logs publicos
  • Obsolescencia de algoritmos fracos — eliminou gradualmente SHA-1, MD5, etc.

Membros incluem Apple, Google, Mozilla, Microsoft (lado dos navegadores) e Let’s Encrypt, DigiCert, Sectigo, GlobalSign (lado das CAs). Decisoes requerem votacao de supermaioria de ambos os lados.

Certificate Transparency

Desde 2018, todas as CAs publicamente confiaveis devem submeter cada certificado emitido a logs de Certificate Transparency (CT) — logs de apenas-adicao publicamente auditaveis. Isso significa:

  • Qualquer um pode monitorar quais certificados sao emitidos para seu domínio
  • Certificados emitidos incorretamente sao detectaveis (se uma CA emitir um cert para google.com para alguem que não o controla, o Google pode ver nos logs)
  • Ferramentas como crt.sh permitem pesquisar logs CT para qualquer domínio

CT não previne emissão incorreta, mas a torna detectavel — o que é um forte dissuasor.

Como escolher uma CA

Para a maioria dos sites, a escolha e simples:

NecessidadeCA recomendadaComo obter
Certificado DV gratuitoLet’s EncryptGetHTTPS ou Certbot
DV gratuito com validade maiorBuypass Go (180 dias)acme.sh ou Certbot
OV/EV para conformidadeDigiCert ou SectigoComprar no site deles
Automatico com CloudflareCloudflareHabilitar no painel Cloudflare

Compare todos os provedores gratuitos →

Perguntas frequentes

Qualquer um pode se tornar uma CA?

Tecnicamente você pode criar sua própria CA, mas navegadores não vao confia-la a menos que passe pelos Baseline Requirements do CA/Browser Forum e seja adicionada aos trust stores dos navegadores — um processo que leva anos, custa milhoes em auditorias e requer manter segurança operacional rigorosa (chaves raiz offline, modulos de segurança de hardware, resposta a incidentes 24/7).

O que acontece se uma CA for comprometida?

A CA e removida dos trust stores dos navegadores via atualizacoes de software. Todos os certificados emitidos por essa CA se tornam não confiaveis. Incidentes notaveis:

  • DigiNotar (2011) — hackeada, emitiu certificados fraudulentos para Google e outros domínios. CA foi revogada e faliu.
  • Symantec (2018) — problemas persistentes de emissão incorreta. Google Chrome gradualmente desconfiou de todos os certificados emitidos pela Symantec. DigiCert adquiriu o negocio de CA da Symantec.

Chaves raiz sao armazenadas em modulos de segurança de hardware (HSMs) offline com controles de acesso fisico para minimizar esse risco.

Todos os certificados de CA sao igualmente confiaveis pelos navegadores?

Sim, em termos do icone de cadeado. Um certificado DV gratuito do Let’s Encrypt é um certificado EV de $500 da DigiCert ambos mostram o mesmo cadeado na barra de endereco. Navegadores confiam em todas as CAs em seu root store igualmente para fins de criptografia. As diferencas estao no nível de válidação (DV/OV/EV) e serviços (suporte, garantia), não na forca da criptografia ou confiança do navegador.

Quantas CAs existem?

Ha aproximadamente 100-150 CAs raiz nos principais trust stores, mas o mercado e fortemente concentrado. Let’s Encrypt (63,9%), GlobalSign (22,2%) e Sectigo (5,9%) controlam mais de 90% de todos os certificados emitidos.

Artigos relacionados

SSL e certificados 2026-05-07
Cadeia de Confiança de Certificados Explicada
Como os navegadores verificam certificados SSL através de uma cadeia da CA raiz à CA intermediária até o seu certificado. Saiba por que a ordem da cadeia importa e como corrigir erros de 'certificado não confiável'.
SSL e certificados 2026-05-08
O que e HTTPS? Um Guia Completo
HTTPS criptografa a conexão entre seu navegador é um site. Aprenda como o HTTPS funciona, o handshake TLS, diferencas entre HTTP e HTTPS, impacto no desempenho e como habilita-lo gratuitamente.
Comparacao 2026-05-08
Melhores Provedores de Certificado SSL Grátis em 2026 (Comparados)
Compare 9 provedores de certificado SSL grátis em privacidade, limites, suporte a wildcard e automação. Inclui CAs independentes, provedores de hospedagem e CDNs — com uma análise de privacidade que nenhuma outra comparação oferece.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado