Checklist de SSL: erros comuns ao renovar certificado no cPanel

15 min de leitura  ·  Guia técnico

Checklist de SSL no cPanel reúne os erros mais comuns ao renovar certificado — desde DNS mal configurado até porta 80 bloqueada — e as soluções verificadas para cada situação. Se o AutoSSL falhou ou o site ainda exibe certificado expirado, siga este diagnóstico completo.

Pré-requisitos para renovar certificado SSL no cPanel

• Acesso ao cPanel com permissões de administrador ou acesso WHM com root
• Domínio com registro DNS tipo A apontando para o IP correto do servidor
• Porta 80 (HTTP) liberada no firewall do servidor — obrigatória para validação HTTP-01 do Let's Encrypt
• cPanel/WHM atualizado (versão 11.x ou superior com AutoSSL habilitado)
• Acesso SSH com usuário root para comandos avançados de diagnóstico
• Nenhum proxy reverso ou CDN interceptando requisições sem configuração adequada

Checklist de SSL: verificações obrigatórias antes de renovar

Antes de executar qualquer renovação, percorra este checklist de SSL no cPanel para identificar a causa raiz do problema. A maioria das falhas de renovação tem origem em três pontos: DNS incorreto, firewall bloqueando validação ou limite de emissão atingido.

1. Verifique o registro A do domínio: o IP no DNS deve ser idêntico ao IP do servidor cPanel.
2. Confirme que a porta 80 está aberta: o Let's Encrypt usa HTTP-01 challenge e precisa acessar http://seudominio.com/.well-known/acme-challenge/.
3. Cheque se o AutoSSL está habilitado: no WHM, acesse Manage AutoSSL e confirme que o provedor está definido como Let's Encrypt ou cPanel (powered by Sectigo).
4. Verifique o log do AutoSSL: o arquivo /var/cpanel/logs/autossl/ contém o histórico de tentativas e erros detalhados.
5. Confirme que não há redirecionamento forçado de HTTP para HTTPS antes da validação: regras no .htaccess que redirecionam toda a porta 80 para 443 podem bloquear o challenge.
6. Verifique o limite semanal do Let's Encrypt: máximo de 5 certificados por conjunto de domínios por semana.

Com esses pontos verificados, você já elimina mais de 80% das causas de falha. Veja agora como executar cada diagnóstico em detalhe.

Como verificar o DNS antes de renovar o certificado SSL

A validação de domínio pelo Let's Encrypt depende inteiramente de o registro DNS apontar para o servidor correto. Um erro de DNS é a causa número um de falha na renovação de certificado SSL no cPanel.

Para verificar o registro A do domínio via linha de comando SSH:

dig +short seudominio.com A

203.0.113.45

Compare o IP retornado com o IP do servidor. Para descobrir o IP do servidor cPanel:

curl -4 ifconfig.me

203.0.113.45

Se os dois IPs forem diferentes, o DNS está apontando para outro servidor. Acesse o painel de gerenciamento do seu domínio e corrija o registro A. Após a correção, aguarde a propagação — que pode levar de alguns minutos a 48 horas dependendo do TTL configurado. Você pode acompanhar a propagação com:

watch -n 30 "dig +short seudominio.com A @8.8.8.8"

Somente após o DNS propagar corretamente para o IP do servidor, execute o AutoSSL novamente. Consulte também o artigo Como Configurar DNS Personalizado para Seu Domínio na AviraHost para detalhes sobre zonas DNS.

Como verificar e liberar a porta 80 para validação SSL

O processo de validação HTTP-01 do Let's Encrypt exige que a porta 80 esteja acessível publicamente. Firewalls mal configurados são a segunda causa mais comum de falha ao renovar certificado SSL no cPanel.

Verifique se a porta 80 está escutando no servidor:

ss -tlnp | grep ':80'

LISTEN 0 128 0.0.0.0:80 0.0.0.0:* users:(("httpd",pid=1234,fd=4))

Se não houver output, o Apache/httpd não está rodando na porta 80. Inicie o serviço:

systemctl start httpd
systemctl enable httpd

Verifique também se o firewall está bloqueando a porta 80. Em servidores com CSF (ConfigServer Security & Firewall), comum em ambientes cPanel:

csf -g 80

Se a porta estiver bloqueada, adicione-a temporariamente:

Atenção: alterar regras de firewall pode expor o servidor. Certifique-se de entender o impacto antes de executar o comando abaixo.

csf -a tcp 80 in

Após a renovação do certificado, você pode remover a regra temporária se necessário. Em ambientes com iptables puro:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Teste se o challenge path está acessível externamente:

curl -I http://seudominio.com/.well-known/acme-challenge/test

HTTP/1.1 404 Not Found

Um retorno 404 é aceitável — significa que o servidor respondeu na porta 80. O problema seria um timeout ou erro de conexão recusada.

Como executar o AutoSSL manualmente no cPanel e WHM

Após corrigir DNS e firewall, force a renovação do certificado SSL manualmente. O AutoSSL pode ser executado de três formas diferentes dependendo do seu nível de acesso.

Via cPanel (usuário comum):

1. Acesse o cPanel do domínio
2. Navegue até Segurança > SSL/TLS Status
3. Selecione os domínios com status de erro ou expirado
4. Clique em Run AutoSSL

Via WHM (acesso root/reseller):

1. Acesse o WHM
2. Pesquise por Manage AutoSSL na barra de busca
3. Localize o usuário/domínio desejado
4. Clique em Run AutoSSL for All Users ou selecione o usuário específico

Via SSH com acesso root (método mais completo):

/usr/local/cpanel/bin/autossl_check --user=nomeusuario

info [autossl] The AutoSSL check for "nomeusuario" completed.
info [autossl] "seudominio.com": The domain's SSL certificate is now valid.

Para verificar o log completo da última execução do AutoSSL:

tail -100 /var/cpanel/logs/autossl/$(ls -t /var/cpanel/logs/autossl/ | head -1)

O log mostrará cada etapa da validação, incluindo o motivo exato de qualquer falha. Procure por linhas com error ou warn para identificar o problema específico.

Como verificar o certificado instalado e corrigir exibição de SSL expirado

Após a renovação, é comum o navegador ou CDN ainda exibir o certificado antigo. Esse comportamento de cache é a terceira causa mais frequente de confusão após renovar certificado SSL no cPanel.

Verifique qual certificado está realmente instalado no servidor via linha de comando:

echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -dates

notBefore=Jan  1 00:00:00 2025 GMT
notAfter=Apr  1 00:00:00 2025 GMT

Compare a data notAfter com a data atual. Se o certificado instalado no servidor já está atualizado mas o navegador ainda mostra o antigo:

• Cache do navegador: pressione Ctrl+Shift+R (hard refresh) ou limpe o cache nas configurações
• Cache do Cloudflare: acesse o painel do Cloudflare > Caching > Purge Everything
• Cache de outros proxies: reinicie o serviço de proxy ou aguarde o TTL expirar

Para verificar o certificado diretamente no cPanel sem depender do navegador:

1. Acesse o cPanel
2. Vá em Segurança > SSL/TLS
3. Clique em Manage SSL Sites
4. Localize o domínio e verifique a data de expiração do certificado ativo

Se o certificado no cPanel ainda for o antigo mesmo após executar o AutoSSL, pode ser necessário instalar manualmente. Após obter o novo certificado, veja como redirecionar HTTP para HTTPS corretamente para garantir que o SSL funcione em todas as requisições.

Como corrigir o erro .htaccess que bloqueia a validação SSL

Regras de redirecionamento no .htaccess que forçam HTTPS em todas as requisições podem impedir o Let's Encrypt de completar o HTTP-01 challenge. Esse é um erro silencioso que não aparece claramente nos logs do AutoSSL.

O problema ocorre quando o .htaccess contém algo como:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Essa regra redireciona toda requisição HTTP para HTTPS, incluindo o path de validação /.well-known/acme-challenge/. Para corrigir, adicione uma exceção antes da regra de redirecionamento:

RewriteEngine On
RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Salve o arquivo e execute o AutoSSL novamente. Após a renovação bem-sucedida, você pode manter ou remover a exceção — o Let's Encrypt só precisa do acesso HTTP durante o processo de validação.

Problemas comuns e como resolver

Sintoma: AutoSSL falha com erro "Domain's IP does not match"

Causa: O registro DNS do domínio aponta para um IP diferente do servidor onde o cPanel está tentando emitir o certificado. Isso acontece frequentemente após migrações de servidor ou quando o Cloudflare está ativo com proxy habilitado (nuvem laranja).
Solução: Execute dig +short seudominio.com A e compare com o IP do servidor. Corrija o registro A na zona DNS. Se usar Cloudflare, desative temporariamente o proxy (mude para nuvem cinza) durante a renovação, ou use o método de validação DNS-01 via plugin do Cloudflare. Após a renovação, reative o proxy.

Sintoma: Erro "too many certificates already issued" ao renovar

Causa: O Let's Encrypt atingiu o limite de 5 certificados por conjunto de domínios por semana. Isso ocorre quando há múltiplas tentativas fracassadas em curto período, cada uma gerando uma nova solicitação de certificado.
Solução: Aguarde o reset semanal do limite (os limites são contados em janelas deslizantes de 7 dias). Enquanto aguarda, resolva a causa raiz da falha para que a próxima tentativa seja bem-sucedida. Você pode verificar o histórico de emissões em crt.sh pesquisando pelo domínio.

Sintoma: SSL renovado mas subdomínios ainda com certificado expirado

Causa: O AutoSSL renova o certificado do domínio principal mas pode não incluir automaticamente todos os subdomínios, especialmente se eles foram adicionados recentemente ou têm registros DNS diferentes.
Solução: Acesse SSL/TLS Status no cPanel e verifique o status de cada subdomínio individualmente. Subdomínios com status vermelho precisam ter seus registros DNS verificados. Execute o AutoSSL especificando o usuário via SSH: /usr/local/cpanel/bin/autossl_check --user=nomeusuario e observe o log para cada subdomínio.

Sintoma: Certificado instalado mas site exibe "NET::ERR_CERT_COMMON_NAME_INVALID"

Causa: O certificado foi emitido para um domínio diferente do que está sendo acessado. Por exemplo, o certificado cobre seudominio.com mas não www.seudominio.com, ou vice-versa.
Solução: Verifique os SANs (Subject Alternative Names) do certificado: echo | openssl s_client -connect seudominio.com:443 2>/dev/null | openssl x509 -noout -text | grep -A1 "Subject Alternative". Se o subdomínio www não estiver listado, execute o AutoSSL novamente — ele deve incluir ambas as variantes automaticamente quando o DNS estiver correto para os dois.

Sintoma: AutoSSL não executa automaticamente mesmo com configuração correta

Causa: O cron do cPanel responsável pelo AutoSSL pode estar desabilitado ou com falha. O AutoSSL é executado diariamente via cron interno do cPanel.
Solução: Verifique o status do serviço cPanel: systemctl status cpanel. Reinicie se necessário: systemctl restart cpanel. Verifique também em WHM > Service Manager se o serviço cpdavd e cpsrvd estão ativos. Para forçar a execução imediata: /usr/local/cpanel/bin/autossl_check_all_users.

Perguntas frequentes sobre renovação de certificado SSL no cPanel

Por que o certificado SSL não renova automaticamente no cPanel?

A renovação automática do SSL no cPanel depende do AutoSSL estar habilitado e do domínio apontar corretamente para o servidor. Se o DNS estiver propagando para outro IP, ou se a porta 80 estiver bloqueada por firewall, o processo de validação HTTP-01 do Let's Encrypt falha e a renovação não ocorre. Verifique o log em /var/cpanel/logs/autossl/ para identificar o erro exato e corrija a causa raiz antes de tentar novamente.

O que significa o erro "Domain's IP does not match" ao renovar SSL no cPanel?

Esse erro indica que o registro DNS do domínio aponta para um IP diferente do servidor onde o cPanel está tentando emitir o certificado. Para corrigir, verifique o registro A do domínio na zona DNS e certifique-se de que ele aponta para o IP correto do servidor. Após corrigir o DNS, aguarde a propagação e execute o AutoSSL novamente. Se usar Cloudflare com proxy ativo, desative temporariamente o proxy durante a renovação.

Como forçar a renovação do SSL manualmente no cPanel?

Acesse o cPanel, vá em SSL/TLS Status e clique em Run AutoSSL. Alternativamente, via WHM, acesse Manage AutoSSL e execute para o domínio específico. Você também pode usar o comando /usr/local/cpanel/bin/autossl_check --user=nomeusuario via SSH com acesso root para forçar a verificação e obter um log detalhado da execução em tempo real.

O SSL foi renovado mas o site ainda mostra certificado expirado. O que fazer?

Isso geralmente ocorre por cache do navegador ou de um proxy/CDN como o Cloudflare. Limpe o cache do navegador e, se usar Cloudflare, purge o cache no painel deles. Verifique também se o certificado instalado no cPanel é realmente o novo, acessando SSL/TLS e conferindo a data de expiração do certificado ativo. Use openssl s_client para confirmar o certificado que o servidor está servindo diretamente.

Qual é o limite de emissão de certificados Let's Encrypt por domínio?

O Let's Encrypt permite emitir até 5 certificados por conjunto de domínios (domain set) por semana. Se você tentou renovar muitas vezes em curto período por conta de erros, pode atingir esse limite e receber o erro too many certificates already issued. Nesse caso, aguarde o período de reset semanal antes de tentar novamente e resolva a causa raiz da falha para evitar novas tentativas desnecessárias.

Conclusão

• Verifique DNS e porta 80 primeiro: a maioria das falhas de renovação SSL no cPanel tem origem em registro A incorreto ou porta 80 bloqueada — resolva esses dois pontos antes de qualquer outra ação.
• Use os logs do AutoSSL: o diretório /var/cpanel/logs/autossl/ contém o diagnóstico completo de cada tentativa — nunca tente corrigir no escuro sem ler o log primeiro.
• Após a renovação, valide com openssl: use openssl s_client para confirmar que o servidor está servindo o certificado novo antes de concluir que o problema foi resolvido.

Leia também

• Como Instalar e Configurar o Let's Encrypt Wildcard SSL no VPS Linux
• Comparativo: cPanel vs. Painéis Open Source para Gerenciamento de VPS Linux
• Checklist de Segurança para Servidor Linux em Produção 2026

Precisa de ajuda com SSL e hospedagem cPanel?

Configurar e manter certificados SSL funcionando corretamente exige atenção a DNS, firewall e configurações do servidor. Se você enfrenta erros persistentes na renovação ou precisa de um ambiente de hospedagem com cPanel já configurado e suporte técnico disponível, a AviraHost oferece planos com SSL gerenciado incluído.

Conheça os planos de hospedagem com cPanel e SSL da AviraHost