Hack Alerta

Let’s Encrypt reduzirá validade de certificados de 90 para 45 dias até 2028

Por Redação Hack Alerta Publicado em 03/12/2025 06:03 Cloud Tempo de leitura: 3 min

Let’s Encrypt anunciou redução do prazo máximo de certificados de 90 para 45 dias até 2028, com fases em 2026 e 2027; também reduzirá o período de authorization reuse para 7 horas. Administradores devem revisar renovações e habilitar ARI.

Let’s Encrypt anunciou um plano de redução do período máximo de validade de certificados SSL/TLS de 90 dias para 45 dias, com transição escalonada que será concluída até 16 de fevereiro de 2028. A mudança também contempla forte encurtamento do período de "authorization reuse" para reduzir a janela de compromisso de credenciais e melhorar mecanismos de revogação.

Resumo das mudanças e cronograma

O cronograma anunciado prevê fases por ACME Profiles para mitigar impacto operacional:

  • 13 de maio de 2026 — tlsserver (opt-in): perfil opt-in passa a emitir certificados de 45 dias para testes e adoção inicial.
  • 10 de fevereiro de 2027 — classic (padrão): emissão padrão muda para certificados de 64 dias, com período de authorization reuse reduzido para 10 dias.
  • 16 de fevereiro de 2028 — classic (padrão): plena aplicação de certificados de 45 dias e redução do authorization reuse para 7 horas.

Impactos operacionais

A redução no lifetime do certificado exige revisão de processos de renovação automatizados. Administradores que dependem de rotinas de renovação manual ou jobs com intervalos longos (ex.: cron a cada 60 dias) podem sofrer interrupções, já que certificados expirarão antes do próximo ciclo programado.

Ferramentas e medidas recomendadas

Let’s Encrypt recomenda práticas e recursos para reduzir atrito operacional:

  • renovar certificados aproximadamente em dois terços do tempo de vida útil (behavior recomendado);
  • habilitar ACME Renewal Information (ARI) para permitir ao CA sinalizar quando um cliente deve renovar;
  • evitar gestão manual frequente de certificados em ambientes automatizáveis;
  • preparar infraestrutura para autorizações mais frequentes decorrentes da redução do authorization reuse.

DNS-PERSIST-01 e validação

Para reduzir a fricção em infraestruturas que não permitem atualizações DNS dinâmicas frequentes, Let’s Encrypt colabora com o IETF para padronizar o método DNS-PERSIST-01, previsto para 2026. A proposta permite um registro TXT DNS estático para validação, diferindo do DNS-01 atual que exige um token novo a cada renovação. Isso visa habilitar renovações automáticas quando a atualização dinâmica do DNS for restrita.

Limites das informações

O anúncio detalha o cronograma e os mecanismos planejados, mas não quantifica o impacto por plataforma nem fornece métricas de adoção esperada. Também não substitui a necessidade de revisão do inventário de certificados e testes de compatibilidade em ambientes legados.

Recomendações práticas

Equipes responsáveis por identidade e infraestrutura TLS devem:

  • auditar e mapear todos os certificados gerenciados via Let’s Encrypt e verificar métodos de renovação;
  • habilitar ARI e testar clientes ACME para garantir conformidade com as mudanças progressivas;
  • implementar ou reforçar automação de renovação (ex.: clientes ACME robustos, integração com orquestradores de configuração);
  • avaliar viabilidade de adotar DNS-PERSIST-01 quando disponível para reduzir necessidade de atualizações DNS a cada renovação.

A transição busca aumentar a segurança reduzindo a janela útil de certificados comprometidos, mas impõe esforço operacional que deve ser antecipado para evitar indisponibilidades decorrentes de certificados expirados.

Baseado em publicação original de Cyber Security News
Tags: #lets-encrypt #ssl #tls #certificados #acme #renovacao #ari #dns-persist-01 #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar