Certificados de 45 Dias do Let's Encrypt: O Que as Equipes Empresariais Precisam Saber

1 de julho de 2026
10 minutos de leitura
Certificados de 45 Dias do Let's Encrypt: O Que as Equipes Empresariais Precisam Saber

Introdução#

O cenário dos certificados SSL está prestes a passar pela sua maior mudança em anos. A Let’s Encrypt, a maior autoridade certificadora do mundo, está a passar de certificados com validade de 90 dias para 45 dias. Para equipas empresariais que gerem centenas ou milhares de domínios, isto não é um ajuste menor — é uma mudança fundamental na forma como a gestão de certificados SSL deve funcionar.

Se a sua equipa ainda trata das renovações de SSL manualmente, está prestes a sentir a pressão. O que antes eram quatro ciclos de renovação por ano passa a ser oito. O que era uma tarefa trimestral gerível torna-se uma carga operacional permanente. O calendário já está em andamento, e as equipas de infraestrutura que se prepararem agora vão atravessar a transição com mais suavidade. As que não se prepararem enfrentarão um maior risco de indisponibilidade e um aumento crescente da sobrecarga operacional.

Este artigo detalha o anúncio, a lógica por trás dele, como será o cronograma de transição e o que as equipas empresariais devem fazer para se preparar.

O anúncio: a Let’s Encrypt passa de 90 para 45 dias de validade dos certificados#

A Let’s Encrypt anunciou em meados de 2026 a intenção de reduzir a validade máxima dos certificados de 90 dias para 45 dias. A mudança afeta todos os novos certificados emitidos após a data de transição. Os certificados existentes continuarão a ser aceites até ao seu vencimento natural, mas as renovações passarão a estar sujeitas à nova validade de 45 dias.

Isto não é uma decisão repentina. A Let’s Encrypt tem vindo a encurtar progressivamente a validade dos certificados desde o seu lançamento. Começaram com 90 dias, quando a maioria das AC comerciais oferecia certificados de um ano. A mudança para 45 dias dá continuidade a uma tendência de certificados com vida útil mais curta, para a qual toda a indústria tem caminhado.

O impacto prático é direto: cada domínio protegido pela Let’s Encrypt precisará de renovação do certificado duas vezes mais frequentemente. Para organizações que já automatizaram o processo de renovação, a transição pode ser tranquila. Para equipas que dependem de processos manuais ou fluxos de trabalho semi-automatizados, o impacto operacional será significativo.

Por que está a acontecer: boas práticas de segurança — limitar a janela de comprometimento#

Validades mais curtas dos certificados são, fundamentalmente, uma melhoria de segurança. Cada certificado TLS representa um possível vetor de ataque. Se a chave privada de um certificado for comprometida, um atacante pode se fazer passar pelo domínio legítimo até o certificado expirar ou ser revogado. Quanto maior a validade do certificado, maior é o tempo em que essa janela de comprometimento permanece aberta.

Certificados de 45 dias reduzem essa janela pela metade em comparação com o padrão atual de 90 dias. Se uma chave for comprometida no primeiro dia, a exposição máxima é de 45 dias em vez de 90. Na prática, a exposição costuma ser menor, mas o limite importa — especialmente para organizações que podem não detectar um comprometimento imediatamente.

Também existe um argumento sobre revogação. A revogação de certificados por meio de CRLs e OCSP historicamente tem sido pouco confiável. Os navegadores nem sempre verificam o status de revogação de forma consistente, e certificados revogados às vezes continuam sendo confiados. Vidas úteis mais curtas reduzem a dependência da infraestrutura de revogação. Se um certificado só dura 45 dias, revogá-lo se torna menos crítico — ele expira logo de qualquer forma.

A comunidade de segurança defende há muito tempo vidas úteis mais curtas para certificados. A mudança da Let's Encrypt operacionaliza o que pesquisadores de segurança recomendam há anos.

Proposta do Parallel CA/Browser Forum da Google — Isto Não é Apenas a Let's Encrypt#

A Let's Encrypt não está agindo sozinha. A Google vem avançando uma proposta paralela no CA/Browser Forum para reduzir os prazos máximos de vida dos certificados em toda a indústria para 45 dias. Isso afetaria todas as autoridades certificadoras, não apenas a Let's Encrypt — incluindo CAs comerciais como DigiCert, Sectigo e GlobalSign.

A proposta do CA/B Forum ainda está em discussão, mas o envolvimento da Google indica que vidas úteis de 45 dias provavelmente se tornarão um padrão da indústria, e não apenas uma política da Let's Encrypt. Quando o maior fornecedor de navegadores e a maior autoridade certificadora alinham uma política de segurança, a adoção tende a seguir.

Para equipes corporativas, isso significa que a era dos certificados de 45 dias não é uma preocupação exclusiva da Let's Encrypt. Se hoje você usa certificados comerciais com validade de um ano, deve esperar que essas validades também diminuam. Todo o ecossistema de certificados SSL está se movendo em direção a certificados de curta duração, e a transição já está em andamento.

Linha do tempo: Quando a Mudança Acontece e Como Fica o Período de Transição#

A Let's Encrypt sinalizou uma implementação em fases. As datas exatas ainda estão sendo finalizadas, mas a linha do tempo esperada segue um padrão semelhante às reduções de validade anteriores:

**Fase de anúncio (atual):** Comunicação pública, atualizações de documentação e preparação de ferramentas. Softwares de cliente como Certbot e bibliotecas ACME recebem atualizações para lidar com as novas validades.

**Implantação faseada:** O prazo de validade de 45 dias aplica-se primeiro a um subconjunto de novas emissões de certificados, permitindo que o Let's Encrypt monitore problemas e colete dados sobre padrões de renovação.

**Aplicação total:** Todos os novos certificados emitidos pelo Let's Encrypt têm a validade máxima de 45 dias. Os certificados existentes com 90 dias continuam até sua expiração natural.

Para equipes empresariais, o prazo prático é quando sua automação atual atingir o ciclo de renovação após a transição. Se hoje seus certificados renovam a cada 60 dias, você tem aproximadamente um ciclo de renovação após as mudanças na política antes de começar a emitir certificados de 45 dias.

Comece a fazer redirecionamentos 5x mais rápidos com RedirHub

Obtenha redirecionamentos em menos de 100 ms – com HTTPS automático, análises e zero configuração.

Comece Grátis

O que 45 Dias Realmente Significa: 8 Ciclos de Renovação por Ano vs. os Atuais 4#

A conta é simples, mas o impacto operacional não é. Ao passar de certificados de 90 dias para certificados de 45 dias, isso significa:

**A frequência de renovação dobra.** Em vez de quatro ciclos de renovação por ano por domínio, você passa a lidar com oito. Para uma equipe que gerencia 100 domínios, isso são 800 eventos de renovação por ano, em vez de 400. Para equipes que gerenciam milhares de domínios, os números ficam inviáveis sem automação completa.

**As janelas de renovação diminuem.** Com certificados de 90 dias, a maioria dos sistemas automatizados de renovação começa a tentar renovar 30 dias antes da expiração — deixando uma margem confortável de 30 dias. Com certificados de 45 dias, esse mesmo tempo de antecedência de 30 dias deixa apenas 15 dias de margem. A lógica de renovação precisa ser mais agressiva e mais confiável.

**A tolerância a falhas diminui.** Com certificados de 90 dias, uma falha na renovação lhe dá semanas para investigar e resolver antes da expiração. Com certificados de 45 dias, você tem dias. Cada falha na renovação é mais urgente, e sua monitoração precisa ser mais responsiva.

**O controle de taxa (rate limiting) vira uma preocupação.** O Let's Encrypt impõe limites de taxa para a emissão de certificados. Dobrar a frequência de renovação significa consumir duas vezes o orçamento do limite de taxa. Equipes próximas de seus limites com certificados de 90 dias podem atingi-los com certificados de 45 dias e precisarão ajustar seus padrões de emissão.

O ponto principal: processos manuais ou semi-automatizados de renovação que mal funcionavam em 90 dias vão falhar em 45 dias. Automação completa já não é opcional.

Quem é mais afetado: equipes que gerenciam 100+ domínios com processos manuais de SSL#

A era dos certificados de 45 dias não afeta a todos de forma igual. Veja quem sente o maior impacto:

**Investidores de domínios e gestores de portfólio.** Equipes que gerenciam centenas ou milhares de domínios estacionados, redirecionados ou monetizados enfrentam o maior peso operacional. Cada domínio precisa do seu próprio certificado. A renovação manual nesse volume já era dolorosa com 90 dias. Com 45 dias, não é viável.

**Agências que gerenciam domínios de clientes.** Agências digitais frequentemente gerenciam SSL para dezenas ou centenas de domínios de clientes. Cada cliente pode usar uma infraestrutura diferente, processos de renovação diferentes e níveis diferentes de automação. O prazo de 45 dias amplifica qualquer inconsistência nos fluxos de renovação.

**Plataformas de e-commerce com várias lojas.** Operações de e-commerce multi- marca executam domínios separados para cada marca, cada região e cada campanha. A quantidade de certificados cresce rapidamente — e o peso da renovação também.

**Plataformas SaaS com domínios personalizados.** Produtos SaaS que permitem que os clientes tragam seus próprios domínios normalmente tratam o provisionamento de SSL como parte do onboarding. Com certificados de 45 dias, a infraestrutura de renovação precisa ser à prova de falhas — uma falha na renovação do domínio de um cliente significa que o site dele exibe um aviso de segurança.

Equipes com renovação totalmente automatizada baseada em ACME talvez nem percebam a mudança. A duração do certificado é abstraída por uma infraestrutura que renova automaticamente. A linha divisória é a automação — se o seu processo de renovação envolve uma pessoa verificando um painel ou executando um script, você está do lado errado.

A lacuna de prontidão para a empresa#

Pesquisas do setor mostram um quadro preocupante. Apesar de anos de disponibilidade do Let's Encrypt e da maturidade da automação com ACME, uma parcela significativa das organizações ainda gerencia renovações de SSL por meio de processos manuais ou semi-automatizados.

As lacunas comuns incluem: certificados gerenciados por planilhas em vez de monitoramento automatizado, scripts de renovação que exigem acionamento manual, alertas de expiração enviados para caixas de entrada não monitoradas e certificados curingas implantados na infraestrutura sem coordenação centralizada da renovação.

A lacuna de prontidão é maior nas organizações que adotaram o Let's Encrypt cedo, mas nunca automatizaram totalmente o pipeline de renovação. Eles configuraram o Certbot em alguns servidores há cinco anos, adicionaram um job cron e não revisaram a configuração desde então. Esses jobs cron podem ser executados a cada 60 dias — o que não será frequente o suficiente para certificados de 45 dias.

A recomendação das equipes de infraestrutura que já fizeram a transição é consistente: audite seus processos de renovação agora. Mapeie cada certificado na sua infraestrutura, verifique que a renovação é automatizada e monitorada e teste seus procedimentos de recuperação de falhas. A era dos 45 dias vai expor todas as lacunas do seu pipeline de renovação.

Conclusão#

A era dos certificados de 45 dias está chegando, e não é apenas uma mudança de política do Let's Encrypt — é uma mudança no setor inteiro em direção a ciclos de vida mais curtos de certificados, impulsionada pelas melhores práticas de segurança. Para equipes empresariais, a linha divisória entre quem sente o impacto e quem não sente é simples: automação.

Se o seu pipeline de renovação de SSL estiver totalmente automatizado via ACME — se os certificados renovarem, instalarem e verificarem sem intervenção humana — você talvez nem perceba a mudança, além de atualizar um parâmetro de configuração. Se o seu processo de renovação envolver qualquer etapa manual, planilhas ou scripts acionados por humanos, o prazo de 45 dias vai expor todas as lacunas na sua infraestrutura.

As etapas práticas são diretas: audite o inventário de certificados, verifique a cobertura de automação, teste cenários de falha na renovação e garanta que o monitoramento identifique expirações antes que os usuários vejam avisos no navegador. As equipes que fizerem isso agora — antes de o prazo se reduzir — conseguirão atravessar a transição sem incidentes.

Audite agora o seu processo de renovação de SSL. A era dos 45 dias está chegando — veja como funciona a gestão automatizada de SSL.

Comece a fazer redirecionamentos 5x mais rápidos com RedirHub

Obtenha redirecionamentos em menos de 100 ms – com HTTPS automático, análises e zero configuração.

Comece Grátis

Perguntas frequentes

O Let's Encrypt anunciou sua intenção de reduzir a validade dos certificados de 90 dias para 45 dias, com uma implementação gradual prevista até 2026. A data exata de aplicação total ainda está sendo finalizada, mas a transição já começou. Verifique o fórum da comunidade do Let's Encrypt para as últimas atualizações sobre o cronograma.

Atualmente, a mudança se aplica diretamente aos certificados do Let's Encrypt. No entanto, o Google tem uma proposta paralela através do CA/Browser Forum para reduzir a validade máxima dos certificados para 45 dias em todas as autoridades certificadoras. Se adotada, isso afetaria CAs comerciais como DigiCert e Sectigo também. As equipes empresariais que utilizam certificados comerciais devem monitorar os desenvolvimentos do CA/B Forum.

A renovação automatizada utiliza o protocolo ACME, que o Let's Encrypt suporta nativamente. A maioria das organizações usa clientes ACME como Certbot, acme.sh ou suporte ACME embutido em balanceadores de carga e proxies reversos. O importante é garantir que o processo de renovação funcione automaticamente (geralmente via cron ou timer do systemd), trate da instalação sem intervenção manual e inclua monitoramento para falhas de renovação.

Não. A validade do certificado não afeta as classificações de segurança de ferramentas como SSL Labs ou Mozilla Observatory. A força da criptografia, o tamanho da chave e o suporte ao protocolo são independentes da validade do certificado. Validades mais curtas são, na verdade, vistas positivamente por auditores de segurança, pois limitam a janela de comprometimento da chave.

Sim. O RedirHub provisiona e renova automaticamente certificados SSL para todos os domínios gerenciados através de sua infraestrutura de borda. Os certificados são provisionados via integração ACME do Let's Encrypt e renovados automaticamente antes da expiração. Isso significa que os domínios que usam o RedirHub para gerenciamento de redirecionamentos não precisarão de mudanças operacionais quando a política de 45 dias entrar em vigor.

Um certificado expirado faz com que os navegadores exibam um aviso de segurança — tipicamente uma intersticial de página inteira que os usuários devem clicar para acessar o site. Esse aviso erode a confiança do usuário e pode causar uma perda significativa de tráfego. Para aplicações de e-commerce e SaaS, a expiração do certificado pode impactar diretamente a receita e a confiança do cliente.

Uma empresa de médio porte geralmente gerencia de 100 a 500 domínios entre marcas de produtos, campanhas de marketing, sites regionais e serviços internos. Com validades de 45 dias, isso significa de 800 a 4.000 eventos de renovação anualmente — em comparação com 400 a 2.000 a cada 90 dias. A diferença operacional é substancial, especialmente para organizações com processos de renovação manuais ou semi-automatizados.

Uma vez que a política de 45 dias esteja totalmente aplicada, todos os novos certificados do Let's Encrypt terão uma validade máxima de 45 dias. Os certificados existentes de 90 dias serão respeitados até sua expiração natural. Se você precisar de certificados com validade mais longa, as CAs comerciais ainda oferecem certificados de um ano, embora o CA/B Forum possa reduzir esses máximos no futuro.

Linh Tran - Infrastructure Engineer

Linh handles the backend systems that keep RedirHub fast and reliable. Her work revolves around performance, scalability, and making sure redirects happen instantly, no matter where users are. She likes solving complex problems quietly.