PetLove — Diagnóstico DNS/SSL

1. Resumo

2/3

Registros DNS

403

HTTP Status

Pendente

Certif. SSL HubSpot

1

Registro faltando

O domínio está a um registro DNS de distância de funcionar. Dos 3 registros necessários para o HubSpot provisionar SSL em lp.petlove.com.br, 2 já estão configurados corretamente. Falta apenas o registro de validação de domínio (DCV).

2. Estado Atual — Evidências

Verificação realizada em 06/03/2026 via consultas DNS públicas (dig, curl, openssl).

Verificação	Resultado	Status
CNAME `lp` Aponta para HubSpot	`50501903.group3.sites.hubspot.net`	OK
TXT `_cf-custom-hostname.lp` Prova de ownership do domínio	`3c78d76e-4fb9-40ab-b77a-2bf16bba09ce`	OK
CNAME `_acme-challenge.lp` Validação para emissão de certificado SSL	Registro não encontrado	Faltando
Nameservers DNS gerenciado por	`ns1/ns2.petlove.com.br` (Cloudflare — 162.159.8.141)	OK
IPs resolvidos Destino final do tráfego	`199.60.103.226 / 199.60.103.30` Confirmado: HUBSP-8, HubSpot Inc.	OK

Comandos utilizados

$ dig lp.petlove.com.br +noall +answer
lp.petlove.com.br. 300 IN CNAME 50501903.group3.sites.hubspot.net.
50501903.group3.sites.hubspot.net. 120 IN CNAME group3.sites.hscoscdn00.net.
group3.sites.hscoscdn00.net. 300 IN A 199.60.103.226

$ dig _acme-challenge.lp.petlove.com.br CNAME +short
(vazio — registro não existe)

$ dig _cf-custom-hostname.lp.petlove.com.br TXT +short
"3c78d76e-4fb9-40ab-b77a-2bf16bba09ce"

$ whois 199.60.103.226 | grep OrgName
OrgName: HubSpot, Inc.

3. Por que retorna 403?

🌐

Request

lp.petlove.com.br

→

☁️

DNS PetLove

Nuvem cinza ✓

→

🖥️

IP HubSpot

199.60.103.x

→

🔒

CF for SaaS

Interno HubSpot

→

⚠️

DCV Pendente

Sem certificado

→

🚫

403

Forbidden

O tráfego já chega corretamente aos servidores do HubSpot (IPs 199.60.103.x, rede HUBSP-8). O proxy Cloudflare da PetLove está desligado (nuvem cinza), como confirmado pela TI.

O header Server: cloudflare não indica proxy ativo da PetLove. O HubSpot utiliza internamente o Cloudflare for SaaS para gerenciar certificados SSL dos domínios conectados. Por isso, mesmo acessando diretamente os IPs do HubSpot, o header de resposta mostra Server: cloudflare. Esse é o Cloudflare do HubSpot, não da PetLove.

O HubSpot recebe a requisição, mas não consegue servir a página porque o certificado SSL para lp.petlove.com.br ainda não foi emitido. O processo de emissão (DCV — Domain Control Validation) depende de um registro CNAME que ainda não foi criado.

$ curl -sI https://lp.petlove.com.br | head -5
HTTP/2 403
content-type: text/plain; charset=UTF-8
server: cloudflare
cf-ray: 9d7f2c02bac5f1e5-GRU

4. Certificado SSL Atual

O certificado apresentado hoje em lp.petlove.com.br é o wildcard da PetLove, não um certificado do HubSpot:

Campo	Valor
Emissor	Sectigo Public Server Authentication CA OV R36
Subject	`*.petlove.com.br` (wildcard)
Organização	Petlove Tecnologia LTDA
Validade	19/02/2026 — 22/03/2027
SANs	`*.petlove.com.br`, `petlove.com.br`

Para que as landing pages funcionem, o HubSpot precisa emitir seu próprio certificado para o domínio lp.petlove.com.br. O processo de emissão utiliza o protocolo ACME (Let's Encrypt / Cloudflare), que exige um registro DNS específico para validar a propriedade do domínio.

$ openssl s_client -connect lp.petlove.com.br:443 | openssl x509 -noout -issuer -subject
issuer=C=GB, O=Sectigo Limited, CN=Sectigo Public Server Authentication CA OV R36
subject=C=BR, ST=São Paulo, O=Petlove Tecnologia LTDA, CN=*.petlove.com.br

5. Ação Necessária

Criar 1 registro DNS no Cloudflare

Tipo	CNAME
Host	_acme-challenge.lp
Valor	lp.petlove.com.br.fa5cb0a246ff5bfd.dcv.cloudflare.com
Proxy	DNS Only (nuvem cinza) — registros `_acme-challenge` nunca devem ser proxied
TTL	Auto (padrão Cloudflare)

Não remover nenhum registro existente. Os registros CNAME lp e TXT _cf-custom-hostname.lp já estão corretos e devem permanecer inalterados. A ação é apenas adicionar o novo CNAME.

Por que DNS Only (nuvem cinza)?

O registro _acme-challenge é utilizado exclusivamente para validação de certificado SSL (protocolo ACME). Ele não recebe tráfego HTTP — precisa apenas resolver via DNS. Se o proxy estiver ativo, o Cloudflare intercepta a consulta e a validação falha.

6. O que acontece depois

➕

CNAME criado

_acme-challenge.lp

→

🔍

DCV valida

Cloudflare verifica

→

🔒

SSL emitido

Certificado HubSpot

→

✅

403 → 200

Páginas funcionam

Etapa	Tempo estimado	Responsável
Criar registro CNAME	~2 minutos	TI PetLove (Cloudflare)
Propagação DNS	5–30 minutos	Automático
Validação DCV + emissão SSL	5–15 minutos	HubSpot / Cloudflare for SaaS
Landing pages operacionais	—	Automático após SSL

Após criar o registro, a equipe EPIC irá monitorar a propagação e confirmar quando o domínio estiver operacional.

Como verificar

$ dig _acme-challenge.lp.petlove.com.br CNAME +short
lp.petlove.com.br.fa5cb0a246ff5bfd.dcv.cloudflare.com.
# Se retornar o valor acima, o registro foi criado corretamente

$ curl -sI https://lp.petlove.com.br | head -3
HTTP/2 200
# Quando mudar de 403 para 200, as landing pages estão ativas

7. Referências

Documentação oficial que sustenta esta análise:

Delegated DCV — Cloudflare for Platforms Doc Oficial
Explica o mecanismo de CNAME _acme-challenge para delegar validação de certificado
Delegated DCV — Cloudflare SSL/TLS Doc Oficial
Documenta que registros TXT conflitam com CNAME no _acme-challenge
Auto-renew TLS certificates with DCV Delegation Blog Cloudflare
Confirma que o CNAME permite renovação automática sem intervenção manual a cada 90 dias
SSL and domain security in HubSpot HubSpot KB
Documenta que HubSpot usa Cloudflare for SaaS para provisionar SSL
Troubleshoot SSL certificate errors HubSpot KB
Guia de troubleshooting quando DCV falha em domínios conectados
Troubleshooting DCV Doc Oficial
Documenta conflitos quando proxies interferem na validação