Certificados EV SSL: O Equivalente em Segurança de um Vaso Sanitário de Ouro

Publicado: por Dallas Kashuba
Certificados EV SSL: O Equivalente em Segurança de um Vaso Sanitário de Ouro thumbnail

Se fosse 2010, eu te diria para comprar um certificado SSL de Validação Estendida (EV).

Naquela época, os certificados EV tornavam a barra de endereços verde, exibiam o nome legal da empresa na barra de URL e mostravam um cadeado visível confirmando a autenticidade de um site.

Captura de tela do certificado SSL EV Thawte exibido em diferentes navegadores

Mas não estamos em 2010. E os EV SSLs estão mais do que mortos agora.

Hoje, pagar por um SSL é como comprar um vaso sanitário de ouro. Mesmo resultado, muito mais caro.

O Que os Certificados EV Realmente Fizeram (e Por Que Isso Importava)

Os certificados básicos de Validação de Domínio (DV) que você vê hoje apenas verificam um domínio que você controla. Qualquer pessoa pode obter um desses certificados.

Os certificados de Validação Estendida exigem uma verificação extensiva da empresa. Pense em documentos legais, ligações telefônicas, confirmação de endereço e prova de que sua empresa é real e está operando.

O processo pode levar dias ou semanas e envolve verificação humana em cada etapa.

O resultado final foi o nome da sua empresa exibido no navegador como neste exemplo da Comodo (que é um grande fornecedor de certificados SSL).

Comparação lado a lado da interface do navegador antes e depois das mudanças visuais do EV SSL — o nome da empresa e a barra verde desapareceram, substituídos por uma exibição simples de URL.

Mas como você vê agora, até mesmo a Comodo não mostra nenhum indicador de um SSL EV.

Receba conteúdo diretamente na sua caixa de entrada

Inscreva-se agora para receber todas as últimas atualizações, diretamente na sua caixa de entrada.

O Que Torna os Certificados SSL EV uma Má Escolha Agora?

O principal fator que valorizava os certificados EV eram os indicadores visuais. E os navegadores foram a força motriz por trás da remoção deles.

A Mudança Que Extinguiu os Certificados EV

Depois de 2015, certificados SSL tornaram-se o padrão para sites.

O ícone de cadeado tornou-se mais uma expectativa do que um sinal de confiança.

Para eliminar a redundância, o Chrome removeu a barra de URL de cor verde em 2018 e substituiu o ícone de cadeado pelo ícone de configurações em 2023. O Firefox eliminou os indicadores EV em 2019, e outros navegadores seguiram o exemplo.

Qualquer site sem um certificado SSL válido foi marcado como “Não Seguro”.

As pessoas tinham que clicar em “Avançado” e “Prosseguir para o site mesmo assim (inseguro)” antes de poderem visualizar tal site.

Lado a lado da interface do navegador antes e depois das mudanças visuais do EV SSL — o nome da empresa e a barra verde desapareceram, substituídos por uma exibição de URL simples.

Com isso, a proposta de valor dos certificados EV SSL evaporou. No entanto, você ainda vê empresas vendendo-os como se nada tivesse mudado!

Navegadores Também Descobriram que EV Não Ajuda

A remoção de pistas visuais não foi arbitrária. Foi respaldada por pesquisa.

A barra de URL verde pareceria valiosa nas capturas de tela de perto.

Mas quando a equipe de segurança do Google estudou se a verificação cara oferecia benefícios reais de segurança, eles descobriram que “a interface do usuário EV não protege os usuários como pretendido.”

Os usuários não tomam decisões de segurança diferentes quando os indicadores EV estão presentes ou ausentes. A Mozilla chegou a conclusões semelhantes após sua própria pesquisa.

A conclusão? Gastar em certificados EV não se traduziu em melhor proteção contra ameaças reais, como phishing ou sites maliciosos.

Maioria dos Usuários Não Vê Mais Informações de EV

Quando o Chrome 77 e o Firefox 70 foram lançados em algum momento de 2018, o último pedaço de informação EV também foi ocultado.

Exemplo de um certificado SSL válido em ação — o navegador confirma que a conexão é segura, frequentemente mostrado com um ícone de cadeado.

O nome da empresa, o status de validação estendida, as informações comerciais verificadas — tudo foi colocado sob o ícone de sintonia e exigiu que os usuários clicassem para visualizar os detalhes do certificado.

Portanto, a maioria dos usuários jamais veria os detalhes de EV que supostamente justificavam o preço premium.

Um Certificado é Um Certificado — Todos Eles Oferecem Criptografia Idêntica

A função de um certificado SSL é criptografar dados que viajam do navegador de um visitante para o servidor da empresa. Isso garante que agentes maliciosos não possam espionar os dados.

Comparação visual de conexões inseguras (HTTP) vs seguras (HTTPS) — mostrando como os certificados SSL protegem os dados em trânsito.

QUALQUER certificado SSL pode criptografar dados da mesma forma.

Os algoritmos de criptografia são idênticos: RSA-2048 para troca de chaves, SHA-256 para assinaturas digitais, AES para criptografia simétrica.

O navegador estabelece o mesmo túnel seguro, independentemente de qual autoridade certificadora emitiu o certificado ou quanto você pagou por ele.

Seja usando um certificado SSL gratuito ou um certificado de Validação Estendida de $500, a segurança real protegendo os dados dos seus usuários é exatamente a mesma.

Com os certificados EV, você está apenas pagando dinheiro pelo trabalho burocrático extra sem nenhum benefício adicional.

Qual É a Melhor Opção em 2025 e Além?

Let’s Encrypt revolucionou completamente o mercado de SSL ao tornar os certificados gratuitos, automatizados e tão seguros quanto as alternativas caras. Agora, qualquer pessoa com um domínio pode obter um certificado SSL.

Let’s Encrypt Domina o Mercado por uma Razão

Let’s Encrypt, o provedor de certificados de validação de domínio gratuito, controla 63% de todo o mercado de certificados SSL. O restante do mercado é compartilhado entre outros provedores de SSL DV e EV.

A empresa emitiu mais de um bilhão de certificados até 2020.

Crescimento constante na adoção de SSL: Este gráfico destaca o crescimento explosivo nos certificados SSL emitidos diariamente pela Let's Encrypt de 2016 a 2025.
Fonte

E agora o Let’s Encrypt emite mais de 7 milhões de novos certificados por dia.

A Automação É Melhor Que Processos Manuais

Enquanto a indústria de SSL vendia certificados caros com processos manuais de verificação que levavam dias ou semanas, o Let’s Encrypt introduziu automação e eficiência.

O protocolo ACME permite que certificados sejam emitidos, instalados e renovados sem intervenção humana, frequentemente em minutos ao invés de dias.

Esta automação garantiu segurança juntamente com conveniência. As autoridades certificadoras SSL (CA) agora podem usar certificados de vida mais curta (por exemplo, 90 dias).

Mesmo que um atacante obtenha acesso à chave privada de uma CA (a chave que informa ao navegador que é um certificado válido), ela só será válida por 90 dias, após os quais uma nova chave é gerada e as chaves anteriores são consideradas inválidas.

Se 90 dias parecem muito, os fornecedores de SSL já estão tomando medidas para reduzir ainda mais esse prazo.

Curta Duração Torna a Verificação Manual Quase Impossível

A indústria de SSL está se movendo em direção a períodos de validade de certificados ainda mais curtos.

A expectativa de vida útil máxima deve ser de 200 dias até 2026, 100 dias até 2027 e 47 dias até 2029.

Imagine passar pelo processo de verificação manual de EV — com documentos legais, chamadas telefônicas e verificação empresarial — a cada 47 dias. O trabalho administrativo sozinho seria esmagador, tornando-os não mais vantajosos.

Isso provavelmente explica por que existem apenas 21.000 sites com um certificado EV em 2025.

Certificados de Validação de Domínio (DV) São Geralmente Tudo o Que Você Precisa

Os certificados de Validação de Domínio (sejam gratuitos ou pagos) oferecem várias vantagens em relação aos certificados EV mais caros.

  • Criptografia idêntica: Seus usuários obtêm a mesma segurança
  • Renovação automática: Sem risco de interrupções por expiração
  • Implementação mais rápida: Minutos em vez de dias ou semanas
  • Sem sobrecarga administrativa: Sem papelada, telefonemas ou verificação empresarial
  • Preparado para o futuro: Projetado para os prazos de validade dos certificados mais curtos que virão em 2029

Certificados DV SSL gratuitos como Let’s Encrypt e CloudFlare oferecem o mesmo nível de proteção que outros certificados. Se isso é tudo de que você precisa, opte por um certificado gratuito.

Para grandes organizações ou negócios de e-commerce que necessitam de suporte ao cliente, datas de expiração prolongadas e selos de segurança para construir confiança, um certificado SSL DV assinado profissionalmente faz sentido.

As Grandes Empresas Usam Certificados EV e Alguém Realmente Precisa Deles?

Se os certificados EV fossem realmente necessários para segurança e confiança, você esperaria que as maiores empresas os usassem.

Eles não.

Até a Amazon, a Netflix e o Walmart Usam Certificados Gratuitos

Troy Hunt, o criador de Have I Been Pwned compartilhou um tweet quando o Chrome começou a experimentar a remoção do indicador EV do navegador no primeiro semestre de 2018.

Este tweet destaca o declínio da visibilidade do EV SSL — a mudança do Chrome para deixar de mostrar nomes de organizações na barra de endereços indica um movimento mais amplo em direção a indicadores simplificados, apenas com cadeado.
Fonte

Amazon, Netflix, Walmart, eBay, Target, Best Buy: empresas com orçamentos ilimitados para segurança, equipes de especialistas e milhões de clientes inserindo informações sensíveis diariamente — todas elas utilizam certificados de Validação de Domínio padrão.

Quando Shopify e Amazon processam bilhões em transações usando certificados SSL gratuitos, do que exatamente os fornecedores de certificados EV afirmam proteger você que um certificado gratuito não pode?

Essas empresas não estão cortando gastos em segurança. Elas simplesmente estão utilizando certificados que fornecem a mesma criptografia sem a sobrecarga e os custos de documentação desnecessários.

Faz Sentido Financeiro Pagar por Certificados EV?

A economia dos certificados EV não compensa quando você analisa o que realmente está recebendo.

Você Está Pagando Pelo Interesse Próprio da Indústria

O Certificate Authority Browser Forum estabelece padrões da indústria, mas é essencialmente uma coalizão de fornecedores de certificados que criam regras para vender certificados mais caros.

Um redditor que afirmou ter trabalhado para uma autoridade certificadora respondeu à pergunta: “Qual é o ponto dos certificados SSL de alta qualidade?”

Eles afirmaram que não há diferença entre um SSL de alta qualidade e um regular. É apenas uma maneira das autoridades certificadoras venderem mais certificados.

Este comentário do Reddit destaca um ceticismo crescente: muitos consideram os certificados SSL — especialmente os premium — mais como um lucro do que proteção, com pouca diferença prática em segurança.

Isso cria conflitos de interesse óbvios quando as mesmas empresas que vendem certificados caros estão escrevendo as regras sobre quando os certificados caros são “necessários”.

Essas Garantias de Milhões de Dólares São Truques de Marketing

Os certificados EV vêm com garantias, geralmente entre $10,000 e $2 milhões, dependendo do tipo de certificado. Essas garantias supostamente protegem você caso a autoridade certificadora cometa erros que levem a violações de segurança.

Mas, de acordo com especialistas como Troy Hunt, essas garantias sempre foram truques de marketing.

Scott Helme, o fundador do Report URI, também mencionou três cenários cobertos por essas garantias.

Declaração de Scott Helme, fundador da Report URI, sobre garantias de certificado

Mas nenhum desses cenários realmente leva a você obter uma reivindicação. Primeiramente, um certificado não pode ser emitido sem informações válidas, portanto, o primeiro item é imediatamente desqualificado. O segundo e o terceiro são igualmente infundados.

Eu recomendaria a leitura do artigo do Scott bem como do artigo do Troy para obter uma compreensão mais clara de por que eu também os considero truques de marketing.

Você Alguma Vez Precisa De Um Certificado EV Então?

Apesar de tudo que falamos acima, os certificados EV têm alguma utilidade.

Aqui estão algumas situações específicas onde você precisaria recorrer a certificados EV.

  • Instituições Financeiras Sob Estritos Requisitos Regulatórios: Alguns quadros de conformidade, como o PCI DSS ou regulamentos bancários específicos, exigem certificados EV. Se o seu regulador exigir, você não tem escolha.
  • Equipamentos de TI Legados: Alguns sistemas mais antigos, particularmente hardware empresarial do início dos anos 2000, não reconhecem os certificados raiz da Let’s Encrypt. Isso está cada vez mais raro à medida que os sistemas antigos são substituídos.
  • Políticas Empresariais Exigindo Tipos Específicos de Certificados: Algumas grandes corporações têm políticas internas que exigem certificados EV para sites voltados ao público. Isso geralmente diz mais respeito à gestão de riscos corporativos do que à segurança real.
  • Assinatura de Código e Assinatura de Documentos: Let’s Encrypt emite apenas certificados DV. Se você está assinando downloads de software ou documentos, precisará de certificados de autoridades certificadoras tradicionais.

Para a grande maioria dos sites, como blogs, lojas de e-commerce, aplicações SaaS, sites de marketing e a maioria dos sites empresariais, um certificado EV não oferece benefícios significativos em relação às alternativas gratuitas.

Deveria Apenas Obter Certificados Gratuitos e Prosseguir?

Na minha opinião, a resposta é um retumbante SIM. Na verdade, para 99% dos websites, a resposta é sim.

Aqui está o motivo:

O Mercado Já Decidiu

Os certificados de Validação de Domínio compõem a maioria do mercado.

Gráfico circular mostrando que a maior parte do uso de SSL provém de opções padrão ou gratuitas como Let's Encrypt, com certificados pagos representando uma pequena parcela.

De acordo com a BuiltWith, existem mais de 258 milhões de certificados SSL na internet até junho de 2025. A maioria é gratuita, automatizada e oferece excelente segurança.

Nota: Vais perceber que o SSL Por Padrão tem a maior participação aqui. No entanto, o Let’s Encrypt também vende certificados SSL Por Padrão. Portanto, mesmo que seja mostrado separadamente, eu os consideraria como uma única entidade.

Invista Seu Dinheiro em Segurança Que Realmente Importa

O tempo e o dinheiro que você economiza podem ser direcionados para medidas de segurança que realmente importam: melhor infraestrutura de hospedagem, monitoramento de segurança, backups regulares, firewalls de aplicativos web ou testes de penetração.

A maioria dos provedores de hospedagem — como a DreamHost — agora oferece integração Let’s Encrypt com um clique. Se o seu não oferece, pode ser hora de encontrar um provedor de hospedagem que entenda que estamos em 2025, e não em 2010.

Pare de Complicar, um DV SSL É Tudo o Que Você Precisa

Os certificados de Validação Estendida são soluções caras para problemas que podem ser na maioria das vezes resolvidos gratuitamente. Não estou me referindo às indústrias altamente regulamentadas que precisam de SSLs EV — para o resto do mundo, um SSL DV deve ser suficiente.

A criptografia é idêntica, os navegadores eliminaram os indicadores visuais, e até as maiores empresas não os utilizam.

Aqui está o que você realmente deve fazer:

  • Acesse seu painel de controle de hospedagem
  • Ative o SSL gratuito com um clique
  • Pronto!

Seus usuários recebem a mesma criptografia que protege a Amazon e a Shopify.

Se o seu provedor não oferece um SSL gratuito, você precisa mudar para um provedor de hospedagem como a DreamHost que oferece!

Economize seu dinheiro para segurança que realmente importa: backups, monitoramento ou um firewall de aplicação web.

Esses protegerão seu site muito melhor do que pagar centenas anualmente por documentação premium.

Se preferires delegar as questões técnicas a um profissional, nós te cobrimos com nossos serviços profissionais de gestão de sites!

Serviços Pro – Gestão de Websites

Nós Cuidamos da Parte Técnica

Traga desempenho e confiabilidade de nível empresarial para o seu site. Deixe o backend para os especialistas – você se concentra no seu negócio.

Saiba Mais
Foto de Dallas Kashuba

Dallas Kashuba