Executando verificação de segurança...
17
SheickDasArabias
5 min de leitura ·

O Maior Engano da Internet: Pagar por SSL

Em 2005, um certificado SSL da VeriSign custava 199 dólares por ano. Não era um programa, não era uma base de dados e nem mesmo um documento útil. Era apenas um pequeno arquivo criptografado que dizia ao navegador: “este site é realmente quem diz ser”.

Hoje, a mesma segurança, a mesma criptografia e a mesma confiança dos navegadores podem ser obtidas de graça. Instala-se em segundos, renova automaticamente e funciona de forma idêntica aos pagos. Mesmo assim, muitas empresas de hospedagem continuam cobrando entre 50 e 200 dólares por certificados “premium”, que não oferecem nada além do que já existe gratuitamente.

Este é o resumo de um dos maiores golpes da história da internet, tão bem construído e divulgado que continua gerando bilhões mesmo depois que todos sabem que se trata de um engano.

Como nasceu a febre do SSL

Em 1994, a Netscape criou o SSL (Secure Sockets Layer) para proteger comunicações online. A ideia era simples: criptografar dados entre navegador e servidor para impedir interceptações. Mas surgiu um problema: como ter certeza de que o servidor é realmente quem afirma ser?

A solução veio dos centros de certificação (CA). Eles validavam a identidade do dono do site e emitiam um certificado reconhecido pelos navegadores.

O conceito era elegante: garantir criptografia, verificar identidade e criar confiança no comércio eletrônico. Na prática, o que surgiu foi um mercado de escassez artificial. Poucas empresas controlavam a emissão, transformaram um processo barato e automatizável em um produto de luxo e formaram um cartel que ditou as regras da segurança online por décadas.

Uma margem de lucro absurda

Nos anos 2000, empresas como VeriSign, Thawte e Comodo enriqueceram vendendo certificados a 100, 300 ou até 500 dólares por ano. O custo real de emissão? Centavos.

Enquanto relógios de luxo aplicam margens de 500% e roupas de grife chegam a 1.000%, os certificados SSL tinham margens superiores a 8.000%. O modelo de negócio combinava escassez artificial, marketing baseado em medo (“sem SSL, seu site é inseguro”), complexidade técnica e cobrança recorrente.

Em 2010, a VeriSign chegou a vender sua divisão de SSL para a Symantec por 1,28 bilhão de dólares. Tudo isso por arquivos digitais que custavam praticamente nada para emitir.

O cartel das certificadoras

Com o tempo, o setor se consolidou. Em 2015, três empresas (Symantec, Comodo e GoDaddy) emitiam 75% dos certificados SSL públicos. Como já estavam integradas nos navegadores, novas concorrentes tinham enorme dificuldade de entrar no mercado.

Esse controle absoluto permitiu manter preços altos por mais de 15 anos, mesmo com a tecnologia cada vez mais barata e automatizada. Pequenos negócios pagavam centenas de dólares por algo que custava alguns centavos.

A revolução do Let's Encrypt

Em 2012, nasceu a Internet Security Research Group (ISRG), com um objetivo simples: tornar os certificados SSL gratuitos e automáticos. Assim surgiu o Let's Encrypt, lançado em 2015 com o apoio de gigantes como Mozilla e Google.

O impacto foi imediato: certificados gratuitos, instalação em segundos, renovação automática e a mesma segurança dos pagos. Em poucos anos, o projeto emitiu bilhões de certificados e hoje domina mais da metade do mercado global.

O Let's Encrypt destruiu a lógica do cartel. De repente, a “joia premium” virou um serviço básico e gratuito.

O mito do SSL “premium”

Para justificar preços abusivos, empresas passaram a inventar diferenças:

  • “Melhor criptografia”
    Falso. Todos usam os mesmos padrões de segurança, como AES-256.

  • “Garantia financeira”
    Marketing vazio. Quase impossível conseguir indenizações, e não há registros relevantes de pagamentos.

  • “Compatibilidade superior”
    Let's Encrypt funciona em 99,9% dos navegadores, igual aos pagos.

  • “Validação avançada”
    A chamada EV (Extended Validation) apenas exibia o nome da empresa no navegador, mas usuários não notavam e estudos mostraram que não reduzia ataques de phishing. Navegadores acabaram retirando esse recurso.

Na prática, não existe diferença técnica entre um certificado gratuito e um pago de 200 ou 500 dólares.

O escândalo Symantec

Em 2017, descobriu-se que a Symantec emitia certificados de forma incorreta, sem validações adequadas e até para domínios que não possuía. O Google reagiu removendo a confiança do Chrome em todos os certificados da empresa.

Milhões de sites ficaram marcados como inseguros da noite para o dia. A Symantec foi obrigada a vender sua divisão de SSL para a DigiCert. O caso expôs a fragilidade do modelo baseado em poucas “autoridades confiáveis”.

Enquanto isso, o Let's Encrypt mostrava práticas de segurança mais sólidas do que os gigantes que cobravam caro.

Como os provedores de hospedagem mantêm o golpe

Mesmo com o SSL gratuito disponível, muitas empresas de hospedagem ainda vendem certificados pagos. O motivo é óbvio: margem de 100% sobre algo que custa zero.

As estratégias incluem:

  • Esconder o SSL gratuito em menus obscuros
  • Exibir certificados pagos de forma destacada na hora da compra
  • Criar obstáculos ao uso do gratuito (sem renovação automática, instalação manual)
  • Usar nomes confusos como “Business SSL” ou “Premium SSL”, que são tecnicamente idênticos ao gratuito

Assim, lucram em cima da desinformação dos clientes.

Por que o SSL gratuito é melhor

Além de gratuito, o Let's Encrypt oferece vantagens práticas:

  • Automatização total: evita erros humanos e falhas por esquecimento de renovação
  • Segurança aprimorada: certificados de 90 dias reduzem riscos em caso de comprometimento
  • Transparência: todos os certificados ficam registrados em logs públicos
  • Inovação constante: melhorias contínuas, ao contrário do mercado pago, parado por conta dos lucros fáceis
  • Acessibilidade global: qualquer site, em qualquer país, pode ter SSL sem custo

Ou seja, o “premium” não só é desnecessário como pode ser inferior em vários aspectos.

Como nunca mais pagar por SSL

  • Na escolha de hospedagem: prefira provedores que oferecem SSL gratuito automaticamente.
  • Se já paga por SSL: verifique se seu provedor tem suporte ao Let's Encrypt e migre.
  • Se é desenvolvedor: use ferramentas como Certbot para gerenciar certificados.
  • Se tem um negócio: audite os gastos com SSL e redirecione esse orçamento para melhorias reais de segurança.

Em 2025, não existe justificativa legítima para pagar por certificados básicos.

Conclusão

Durante quase 20 anos, a indústria de certificados SSL convenceu o mundo de que segurança básica era um luxo. Criaram escassez artificial, exploraram o medo e cobraram margens obscenas por um processo totalmente automatizado.

O Let's Encrypt provou que certificados podem ser gratuitos, automáticos e mais seguros. Ainda assim, o golpe continua: empresas de hospedagem insistem em vender “SSL premium” para quem não entende como funciona.

A solução é simples: use SSL gratuito. Não pague por algo que deveria ser tão natural quanto o ar que respiramos. Chegou a hora de parar de alimentar esse mercado de medo e desinformação.

Carregando publicação patrocinada...
2
silvestrini

Eu utilizo o AaPanel e ele faz a renovação automática do SSL por meio de cronjobs e integração com API da Cloudflare. Recomendo a todos, é muito bom para instalar na sua VPS.

2
JonnyD

ultimamente eu só jogo no cloudflare e ativo o SSL deles, mas sim vejo gente pagando isso e fico :O

Outra coisa que eu aprendi a pegar o mais barato é Certificado Digital, as contabilidades sempre oferecem um que é 3x mais caro que o que vc consegue achar por conta, pq eles ganham uma pra oferecer eles.

1
ngoma

[SSL gratuito] Artigo muito interessante. Felizmente nenhuma mentira pode ser guardada para sempre. Embora algumas durão muito, como é caso do monopólio do combustível, embora já existam alternativas baratas e sustentáveis.
Abraços

1
AndreFernandes

Eu tenho 1 único bom motivo pra pagar.
Fazer propaganda no google e facebook, certificados pagos que não são usados para realizar golpes, pagam menos e tem alcance melhor, não tenho experiencia, só repassando o que o Daniel Penin disse uma vez :).

Tirando isso, bora de certificado gratuito mesmo.

0
Oletros

Meus 2 cents,

So comentando, nem tudo no Let's Encrypt (LE) da 100% certo.

  1. Em algumas situacoes em uso via curl, pode acontecer do sistema (client) onde esta rodando nao ter a CA do LE e ai retorna como certificado invalido (do server). Ainda que isso possa ser contornado (instalando a CA no client, passando a fullchain para o curl, etc) - incomoda.

  2. Ja aconteceram casos de emissao de certificado indevido por conta de ma-configuracao do webserver/dns/site, permitindo acesso ao ".well-known/acme-challenge" ou criando entradas de DNS. Ainda que o problema nao seja do LE em si - incomoda.

  3. Em Fev/2026 vao entrar em vigor algumas alteracoes no Chrome (EKU/mTLS) - que podem vir a impedir o uso do LE para identificacao do client, o que provavelmente vai incomodar, ainda que em situacoes bem especificas.

Mas de fato o LE eh uma ferramenta formidavel.

Saude e Sucesso !

0
mactavish

Sempre usei o Let's Encrypt junto ao certbot e foi a melhor coisa que fiz, muito fácil, prático e geralmente, os erros que encontrava rapidamente achava o motivo: algo mal configurado de minha parte.

Acho que nenhum dos seus pontos é válido pois basicamente são achismos e exceções.