Tenanci
Guias Técnicos

Implementação Técnica de Domínios Personalizados

Paulo Brandão
8 min de leitura

Implementar domínios personalizados parece simples à primeira vista — até que você tenta escalar.

Este artigo é para CTOs, engenheiros, arquitetos e developers que querem entender a parte técnica real:

  • Como o tráfego chega até sua aplicação,
  • Como validar domínios,
  • Como emitir e renovar SSL sem falhas,
  • Como isolar riscos,
  • Como evitar replicação de ambientes,
  • Como lidar com roteamento dinâmico multi-domínio,
  • Como gerar experiências white-label completas.

Vamos montar a arquitetura do zero, de forma clara e prática.

Como começa: a relação entre SaaS, DNS e o domínio do cliente

Quando seu cliente quer usar o domínio dele, você precisa:

  1. Validar propriedade desse domínio (via TXT).
  2. Instruí-lo a criar um registro CNAME apontando para seu gateway.
  3. Mapear esse host no seu sistema interno.
  4. Roteá-lo dinamicamente para a aplicação correta.

O fluxo simplificado

Usuário -> DominioCliente.com -> DNS -> CNAME -> Gateway -> Proxy -> SaaS

O CNAME sempre aponta para um endpoint seu, nunca diretamente para a aplicação final.

Provisionamento e renovação automática de SSL

O Let’s Encrypt permite emitir certificados gratuitamente, mas envolve:

  • Validação HTTP ou DNS,
  • Challenge automático,
  • Revalidação periódica,
  • Storage seguro dos certificados,
  • Distribuição em rede,
  • Fallback quando falha.

Gerenciar isso manualmente com dezenas de domínios é impraticável:

  • Certificados expiram,
  • Challenges falham,
  • Rate limits são atingidos,
  • Caches ficam inconsistentes,
  • Domínios quebram sem aviso.

Por isso a solução moderna é usar uma camada intermediária que:

  • Automatiza challenges DNS-01 ou HTTP-01,
  • Renova certificados antes do vencimento,
  • Distribui automaticamente aos proxies,
  • Faz fallback quando necessário.

Roteamento dinâmico multi-domínio

Para cada request, você precisa detectar:

Host: portal.clienteXYZ.com

E com isso:

  • Consultar um data store,
  • Identificar qual tenant aquele host pertence,
  • Encontrar a URL do backend correto,
  • Aplicar configurações customizadas (scripts, HTML, headers),
  • Repassar a requisição.

Essa etapa precisa ser rápida, já que acontece a cada request.

Uma arquitetura típica:

Load balancer / Edge gateway

Camada de roteamento 

Aplicação (única) multi-tenant

Segurança: o ponto mais ignorado

Aceitar domínios externos significa aceitar tráfego vindo de origens não controladas.

Sem mitigação:

  • DDoS pode acontecer via qualquer domínio,
  • Ataques HTTP flood podem derrubar sua aplicação,
  • Exploração de headers maliciosos pode ocorrer.

Por isso são necessários:

  • WAF,
  • Rate limiting,
  • Bloqueio por padrão,
  • Isolamento por host,
  • Limitação de payload.

Evitando a armadilha fatal: replicar a aplicação para cada cliente

Muitos SaaS começam assim:

“É só subir outra instância para outro cliente…”

E então:

  • 5 instâncias viram 12,
  • 12 viram 30,
  • 30 viram 100.

Cada feature vira 100 deploys. Cada bug vira 100 correções.

Isso não escala.

Arquitetura recomendada

Uma única aplicação multi-tenant

  • Uma camada de roteamento multi-domínio
  • Customizações aplicadas dinamicamente conforme o domínio.

White-label avançado: injeção de HTML, CSS, scripts e customizações por domínio

Para oferecer white-label real, muitos SaaS precisam permitir:

  • Cores por tenant,
  • CSS customizado,
  • Scripts externos,
  • Headers adicionais,
  • Favicons específicos.

Com o roteamento certo, isso é aplicado na edge, sem alterar o backend.

Como fica a arquitetura final recomendada

Cliente cria CNAME/TXT

Edge Gateway / Proxy especializado para SaaS

Validação + SSL automático

WAF + Anti-DDoS + Rate Limiting por domínio

Roteamento baseado no Host

Aplicação única multi-tenant

Essa é a abordagem usada por plataformas modernas que lidam com milhares de domínios.

Conclusão: Implementar sozinho é possível, mas não escalável

Você pode construir tudo isso internamente, mas:

  • Resolver SSL em escala,
  • Lidar com segurança,
  • Manter roteamento dinâmico,
  • Gerenciar milhares de domínios,

Exige uma equipe dedicada de infraestrutura.

Hoje existe uma forma mais inteligente:

Usar uma camada especializada que resolve isso para você.

Assim, você mantém uma aplicação única e simples, mas oferece um nível de white-label corporativo.

Conecte um domínio personalizado ainda hoje

Crie sua conta gratuita na Tenanci e configure seu primeiro domínio personalizado em minutos.

Começar agora
P

Paulo Brandão

Tenanci - Founder

← Artigo anterior Domínios Personalizados em SaaS: O Guia Definitivo para Escalar sua Aplicação White-Label