Obter um certificado SSL gratuito hoje é mais simples do que pagar por um. Quase toda hospedagem moderna oferece SSL grátis na ativação da conta, e mesmo quem usa servidores próprios consegue um em poucos minutos via Let’s Encrypt, ZeroSSL ou Cloudflare. Os certificados gratuitos são reconhecidos por todos os navegadores e equivalem tecnicamente aos pagos no nível de criptografia.
O que muda entre os caminhos é a forma de obter, o nível de automação e os limites técnicos. Para um blog WordPress, o caminho mais comum é deixar a hospedagem cuidar. Para quem administra o próprio servidor, Let’s Encrypt via Certbot resolve. Para sites que usam Cloudflare como CDN, o SSL já vem junto sem precisar fazer nada. Este artigo cobre os 5 caminhos práticos, com prós e contras de cada.
O que é um certificado SSL e por que ele importa
SSL é um protocolo de criptografia que protege a comunicação entre o navegador do visitante e o servidor do site. Quando ele está ativo, a URL começa com https:// em vez de http://, e o navegador mostra um cadeado na barra de endereço. Sem SSL, qualquer dado trafegado (login, senha, dados de pagamento) viaja em texto puro e pode ser interceptado.
Hoje, ter SSL não é mais um diferencial. É obrigatório por três motivos:
1. O Google prioriza HTTPS desde 2014. Sites sem certificado caem nos rankings.
2. Os navegadores marcam sites HTTP como “Não seguro”. Chrome, Firefox e Edge mostram aviso bem visível na barra de endereço.
3. Recursos web modernos exigem HTTPS. PWAs, notificações push, geolocalização e service workers não funcionam em sites sem SSL.
Tecnicamente, o nome correto hoje é TLS (Transport Layer Security), não SSL. Mas o termo “SSL” pegou no mercado e a maioria dos provedores ainda usa essa palavra.
Os 5 provedores de SSL gratuito comparados
Antes de escolher um caminho, vale conhecer os provedores disponíveis. A tabela abaixo compara os principais:
| Provedor | Validade | Wildcard incluído | Limite | Renovação automática |
|---|---|---|---|---|
| Let’s Encrypt | 90 dias | Sim | Sem limite | Sim (via ACME) |
| ZeroSSL | 90 dias | Apenas no plano pago | 3 certificados grátis | Sim |
| Cloudflare SSL | Renovação automática | Sim | Sem limite | Automática |
| SSL.com | 90 dias | Sim | Sem limite | Sim |
| Buypass | 180 dias | Não | 5 por conta | Sim |
Let’s Encrypt é o mais usado no mundo, com mais de 400 milhões de sites usando. É uma organização sem fins lucrativos financiada por Mozilla, Google, EFF, Cisco e outros gigantes da tecnologia.
ZeroSSL é uma boa alternativa quando você precisa de uma interface visual mais amigável que o terminal do Let’s Encrypt.
Cloudflare é diferente: ele faz proxy reverso do seu site, e o SSL fica entre o visitante e o servidor da Cloudflare, não entre visitante e seu servidor. É o caminho mais simples se você usa CDN.
Buypass é o único que oferece 180 dias de validade, útil para quem não quer configurar renovação automática.
Caminho 1: SSL gratuito pela sua hospedagem (o mais fácil)
A maioria das hospedagens brasileiras já inclui SSL grátis ativado automaticamente. Você não precisa instalar nada. A tabela mostra a situação atual nas principais:
| Hospedagem brasileira | SSL grátis | Tipo de certificado | Ativação |
|---|---|---|---|
| Hostinger | Sim, ilimitados | Let’s Encrypt | Automática no hPanel |
| HostGator | Sim, ilimitados | Let’s Encrypt | Automática no cPanel |
| KingHost | Sim | KingSSL próprio | Automática |
| Locaweb | Sim (planos selecionados) | Let’s Encrypt | Painel de cliente |
| UOL Host | Sim | Let’s Encrypt | Painel de cliente |
| Umbler | Sim | Let’s Encrypt | Painel de cliente |
Para verificar se sua hospedagem oferece, acesse o painel de controle e procure por “SSL”, “HTTPS” ou “Certificado de Segurança”. Se a opção existe, geralmente basta um clique. A ativação propriamente dita leva de 5 minutos a 24 horas pela propagação do DNS.
Se você usa cPanel, há um caminho específico para ativar SSL no painel direto, sem mexer em servidor.
Caminho 2: Let’s Encrypt via Certbot (para servidores próprios)
Quem administra o próprio servidor (VPS, dedicado, nuvem) consegue Let’s Encrypt em poucos comandos via Certbot, a ferramenta oficial recomendada pela própria Let’s Encrypt:
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d seudominio.com.br -d www.seudominio.com.br
O Certbot detecta o servidor web (Apache ou Nginx), gera o certificado, configura o servidor para HTTPS e ativa renovação automática a cada 60 dias (10 dias antes do vencimento).
O vídeo abaixo, do canal oficial da Locaweb, mostra o processo passo a passo na prática para quem usa cPanel:
Se você quer entender melhor as diferenças entre hospedagem compartilhada (onde o SSL costuma ser automático) e VPS (onde você instala manualmente), veja VPS ou hospedagem compartilhada: quando cada uma vale.
Caminho 3: ZeroSSL (interface gráfica amigável)
Para quem não tem familiaridade com terminal, o ZeroSSL oferece uma interface web para gerar certificados Let’s Encrypt:
- Acesse zerossl.com e crie conta gratuita
- Clique em “New Certificate”
- Insira seu domínio
- Escolha validação por DNS, arquivo HTML ou e-mail
- Faça a validação conforme orientado
- Baixe os arquivos do certificado
- Instale no seu servidor (via painel ou linha de comando)
A vantagem do ZeroSSL é o painel visual. A desvantagem é o limite de 3 certificados no plano grátis. Para mais que isso, precisa pagar.
Caminho 4: Cloudflare SSL (mais simples para iniciantes)
A Cloudflare oferece SSL gratuito que funciona de forma diferente: em vez de instalar um certificado no seu servidor, você aponta o DNS do domínio para a Cloudflare, e ela fica entre o visitante e seu site. O SSL é feito pela própria Cloudflare.
Como ativar:
- Crie conta gratuita em cloudflare.com
- Adicione seu domínio
- A Cloudflare escaneia seus registros DNS automaticamente
- Mude os nameservers do seu domínio para os da Cloudflare (no painel do registrador, como Registro.br)
- Aguarde a propagação (15 minutos a 24 horas)
- Em SSL/TLS, escolha “Full” ou “Full (strict)”
A Cloudflare tem 3 modos de SSL:
- Flexible: HTTPS entre visitante e Cloudflare; HTTP entre Cloudflare e seu servidor (não recomendado, deixa o tráfego exposto entre Cloudflare e servidor)
- Full: HTTPS dos dois lados, mas sem validar o certificado do servidor
- Full (strict): HTTPS dos dois lados com validação completa (o mais seguro)
O ideal é Full (strict), o que exige ter SSL também no servidor de origem. Por isso, muita gente combina: Let’s Encrypt no servidor + Cloudflare como proxy.
Caminho 5: Plugin Really Simple SSL para WordPress
Para sites WordPress, o plugin Really Simple SSL automatiza a transição de HTTP para HTTPS depois que o certificado está instalado:
- Garanta que o certificado SSL já está instalado (Let’s Encrypt via hospedagem, por exemplo)
- Instale e ative o plugin Really Simple SSL
- Clique em “Activar SSL” no painel do plugin
- Pronto
O plugin não emite o certificado — isso continua sendo função da sua hospedagem ou serviço externo. O que ele faz é forçar todas as URLs internas a usar HTTPS, redirecionar HTTP para HTTPS via .htaccess e corrigir avisos de “conteúdo misto” (mixed content).
Esse é o caminho mais usado por iniciantes em WordPress porque resolve em 3 cliques o que tecnicamente exigiria editar arquivos de configuração.
Como verificar se o SSL está funcionando corretamente
Depois de instalar, vale validar três coisas:
1. Cadeado verde no navegador. Acesse seu site e veja se o cadeado aparece na barra de endereço sem aviso de “Não seguro”.
2. SSL Labs Test. Acesse ssllabs.com/ssltest e insira seu domínio. O teste demora 1-2 minutos e dá uma nota de A+ até F. SSL bem configurado consegue A ou A+.
3. Sem mixed content. Pressione F12 no navegador e vá na aba “Console”. Se aparecer avisos como “Mixed Content: The page was loaded over HTTPS, but requested an insecure resource”, você ainda tem URLs internas em HTTP. Use Really Simple SSL (WordPress) ou faça a substituição manualmente no banco de dados.
Erros comuns e como resolver
“NET::ERR_CERT_AUTHORITY_INVALID”: o certificado está expirado, foi instalado para outro domínio, ou a cadeia de certificados está incompleta. Verifique a data de validade no painel da hospedagem e renove se necessário.
“Mixed Content” no console: a página carrega via HTTPS mas chama imagens, scripts ou CSS via HTTP. Solução: trocar todas as URLs internas para HTTPS (no WordPress, plugin Really Simple SSL resolve automaticamente).
Certificado válido mas cadeado quebrado: geralmente é mixed content. Mesmo diagnóstico acima.
“Seu site é mostrado como não seguro mesmo com SSL ativo”: pode ser cache do navegador. Force refresh com Ctrl+Shift+R. Se persistir, problema é no certificado.
Certificado vence e não renovou sozinho: a renovação automática falhou. Para Let’s Encrypt via Certbot, rode sudo certbot renew --dry-run para diagnosticar. Para SSL da hospedagem, abra ticket no suporte.
SSL grátis vs SSL pago: quando vale comprar
Os certificados gratuitos são DV (Domain Validation): a autoridade certificadora valida apenas que você controla o domínio. Para a maioria dos sites, isso é suficiente. Os certificados pagos oferecem dois níveis adicionais de validação:
OV (Organization Validation): a autoridade verifica a existência legal da empresa. Custa cerca de R$ 200-400/ano. Indicado para sites institucionais que querem mostrar identidade corporativa.
EV (Extended Validation): validação completa da empresa via documentação. Custa R$ 800-3.000/ano. No passado fazia o nome da empresa aparecer em verde na barra de endereço, mas isso foi descontinuado pelos navegadores em 2019.
Para 95% dos sites (blogs, e-commerces pequenos e médios, portfólios, sites institucionais simples), o SSL gratuito DV resolve perfeitamente. Vale comprar apenas se você tem requisitos corporativos específicos ou trabalha com compliance financeiro.
Perguntas frequentes
SSL gratuito é seguro como SSL pago?
Sim. A criptografia é idêntica em ambos. O que muda entre gratuito (DV) e pago (OV/EV) é o nível de validação da identidade do dono do site, não a força da criptografia. Para a maioria dos sites, o gratuito é tecnicamente equivalente ao pago.
Quanto tempo dura um certificado SSL gratuito?
Depende do provedor. Let’s Encrypt e ZeroSSL emitem certificados de 90 dias, com renovação automática via ACME. Buypass oferece 180 dias. Cloudflare gerencia renovação automática internamente, sem precisar se preocupar com validade.
Posso usar SSL gratuito em e-commerce?
Sim. Quase todos os e-commerces de pequeno e médio porte usam SSL gratuito. Lojas Shopify, Nuvemshop, Loja Integrada e outras já vêm com SSL incluso no plano. Para lojas próprias em WordPress, Let’s Encrypt resolve.
Let’s Encrypt funciona com qualquer domínio?
Sim, desde que você tenha controle sobre o domínio (pode editar DNS ou hospedar arquivos no servidor para validação). Funciona com domínios .com, .com.br, .net, .org e qualquer outra extensão.
Como ativar SSL grátis no Hostinger?
No hPanel: vá em Websites → seu site → painel → Avançado → SSL → escolha o domínio e clique em “Instalar SSL”. A propagação leva até 24 horas. O Hostinger oferece SSL ilimitado e gratuito em todos os planos de hospedagem.
O SSL gratuito do Cloudflare protege o site mesmo?
Sim, com nuances. No modo Full ou Full (strict), o tráfego é criptografado entre visitante e Cloudflare E entre Cloudflare e seu servidor. No modo Flexible, o tráfego fica em HTTP entre Cloudflare e seu servidor, o que é menos seguro. Use Full (strict) sempre que possível.
Preciso renovar SSL gratuito manualmente?
Não, se a renovação automática estiver configurada (que é o padrão na maioria das hospedagens e do Certbot). Apenas em casos manuais (ZeroSSL sem automação, instalação manual no servidor) é preciso renovar manualmente antes da expiração.
