Let’s Encrypt anuncia redução da validade dos certificados de 90 dias para 45 dias (aplicação gradual até 2028)

 (letsencrypt.org)
17 pontos por davespark 2025-12-03 | 3 comentários | Compartilhar no WhatsApp

Motivo da mudança

  • Requisito dos padrões do CA/Browser Forum (aplicado igualmente a todas as CAs públicas do mundo)
  • Reforço da segurança na internet (com validade menor, o impacto em caso de invasão fica mais limitado + a revogação se torna mais eficiente)

Mudança na validade dos certificados

  • Atual: 90 dias
  • Depois de 2028: 45 dias

Mudança no período de reutilização da validação de propriedade do domínio

  • Atual: 30 dias
  • Depois de 2028: 7 horas

Cronograma de aplicação por etapas (vale para certificados emitidos a partir daí)

  • 13 de maio de 2026: perfil opt-in (tlsserver) → início da emissão de certificados de 45 dias (teste possível
  • 10 de fevereiro de 2027: perfil padrão (classic) → certificados de 64 dias + reutilização de validação por 10 dias
  • 16 de fevereiro de 2028: perfil padrão (classic) → certificados de 45 dias + reutilização de validação por 7 horas

O que os usuários precisam fazer

  • Para a maioria dos usuários com renovação automática: nenhuma ação adicional é necessária
  • Porém, é essencial verificar se o ciclo de renovação automática é compatível com certificados de 45 dias
  • Medidas recomendadas
    • Ativar o recurso ACME Renewal Information (ARI) (indica com precisão o momento certo para renovar)
    • Clientes sem suporte a ARI: configurar para renovar por volta de 2/3 da vida útil do certificado
    • Renovação manual não é recomendada (será necessário fazer isso com muita frequência)
    • É indispensável implementar um sistema de monitoramento de expiração de certificados

Novos recursos de conveniência para automação (previstos para 2026)

  • Avanço da padronização do novo desafio DNS-PERSIST-01
  • Característica: basta configurar o registro DNS TXT uma única vez, sem necessidade de alterá-lo a cada renovação
  • → Renovação totalmente automática possível mesmo sem permissão de atualização automática de DNS

Link do anúncio oficial https://letsencrypt.org/2025/12/02/from-90-to-45

Conclusão: até 2028, para todos os usuários do Let’s Encrypt, renovação automática em ciclo de 45 dias + ARI + monitoramento passarão a ser requisitos essenciais do ambiente.

Leituras relacionadas

3 comentários

 
popopo 2025-12-05

Eu uso certificados no meu homelab, então já estava me preparando com interesse no TLS2030.

Como o Proxmox e o Nginx Proxy Manager fazem a emissão automática de certificados da Let's Encrypt, os domínios individuais não têm nenhum problema em especial.

Como os certificados wildcard precisam ser emitidos uma vez e usados em vários sistemas, um sistema como o Hashicorp Vault é essencial. Há alguma outra alternativa?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

Montei com uma arquitetura desse tipo, mas dá para ficar sem o FreeIPA. O Vault passa a ser a ROOT CA, em vez de uma Intermediate CA, e basta registrar a ROOT CA como CA confiável em cada sistema.

No caso do FreeIPA, ele também é registrado como CA confiável ao instalar o cliente do FreeIPA, então a questão é se você usa o FreeIPA ou se registra como CA confiável com Ansible etc.

Usar o FreeIPA tem a vantagem de poder aproveitar o DNS interno, mas eu acho que a dificuldade de instalação, operação e tratamento de falhas é relativamente alta, então considero melhor usar só o Vault.
 
byun1114 2025-12-04

Eu emito e uso certificados curinga, então não sei como isso vai mudar.
 
techiemann 2025-12-04

Usuários individuais vão precisar renovar com mais frequência, mas para quem já automatiza com ACME isso praticamente não muda.