Hack Alerta

Let’s Encrypt lança 'Generation Y' e certificados de 45 dias

Por Redação Hack Alerta Publicado em 18/12/2025 05:02 Tendências Tempo de leitura: 3 min

Let’s Encrypt anunciou a hierarquia "Generation Y", com novas raízes e intermediárias cross‑assinadas, e avança para certificados de curta duração (teste de 45 dias via perfil tlsserver), além de descontinuar progressivamente o suporte a TLS Client Auth em perfis default. A transição usa perfis ACME para mitigar impactos.

Let’s Encrypt anunciou mudanças amplas em sua hierarquia de confiança e no ciclo de vida de certificados, incluindo uma nova raiz "Generation Y" e a disponibilidade de certificados com validade reduzida.

O que mudou

A autoridade certificadora sem fins lucrativos divulgou a introdução de uma hierarquia chamada "Generation Y" composta por duas novas Root CAs e seis intermediárias, cross‑assinadas pelas raízes existentes "Generation X" (X1 e X2). Além disso, a organização passou a oferecer perfis ACME que permitem aos usuários controlar o momento da transição.

Prazo e perfis

Segundo a nota técnica citada nas fontes, os perfis têm cronogramas distintos: o perfil tlsserver e o perfil de certificados de curta duração (shortlived) já migraram para Generation Y nesta semana; o perfil classic mudará para Generation Y em 13/05/2026. Usuários que dependem de autenticação TLS de cliente podem manter o perfil tlsclient (legacy) até maio de 2026.

Redução da validade dos certificados

Uma das mudanças centrais é o encurtamento progressivo da validade dos certificados: haverá testes com certificados de 45 dias via perfil tlsserver, configurações padrão cairão para 64 dias em 2027 e para 45 dias em 2028, conforme as exigências do CA/Browser Forum. Let’s Encrypt enfatiza que, para a maioria dos operadores, não é necessária ação imediata graças ao uso de perfis ACME e mecanismos automáticos de renovação.

Motivação e impactos práticos

As mudanças visam reduzir a janela de exposição caso uma chave seja comprometida e alinhar práticas com requisitos de programa de raízes. A remoção do Extended Key Usage (EKU) para TLS Client Authentication nas novas intermediárias responde a mandatos de programas de raiz; quem ainda precisa dessa EKU deverá manter o perfil legacy temporariamente.

O que operador de site/infra deve verificar

  • Se utiliza TLS Client Authentication (avaliar necessidade de migrar para tlsclient ou redesenhar o uso).
  • Automação de renovação (ACME) funcionando corretamente para aproveitar certificados de curta duração sem interrupção.
  • Compatibilidade de clientes e dispositivos legados que possam depender das antigas cadeias de confiança.

Repercussão

Let’s Encrypt afirma ter adotado medidas para manter compatibilidade ampla via cross‑signing com as raízes Generation X, minimizando impactos imediatos. Organizações com requisitos de autenticação de cliente devem planejar migração ou manutenção de perfis legacy antes das datas indicadas.

Fontes

Resumo baseado em comunicado e posts técnicos publicados sobre o rollout e o uso de perfis ACME.

Baseado em publicação original de Cyber Security News
Tags: #letsencrypt #certificados #pki #tls #acme #seguranca #raiz #45-dias #geracao-y
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar