O 10º aniversário do Let’s Encrypt

 (letsencrypt.org)
11 pontos por GN⁺ 2025-12-10 | 1 comentários | Compartilhar no WhatsApp
  • Desde a emissão do primeiro certificado público em 2015, o Let’s Encrypt cresceu até se tornar a maior autoridade certificadora (CA) em volume de certificados emitidos no mundo
  • Com a escalabilidade baseada em automação como eixo central, emite mais de 10 milhões de certificados por dia e está perto de proteger cerca de 1 bilhão de sites
  • Contribuiu para melhorar a segurança da web ao elevar globalmente a taxa de criptografia HTTPS de menos de 30% para cerca de 80%
  • Continua adicionando recursos como domínios internacionalizados, wildcard, certificados de curta duração e certificados IP, além de reforçar o desempenho da infraestrutura
  • Com apoio da organização sem fins lucrativos ISRG, segue sua missão de reduzir as barreiras de acesso à internet por meio de uma infraestrutura de segurança gratuita e automatizada

10 anos de trajetória do Let’s Encrypt

  • Desde a emissão do primeiro certificado público em 14 de setembro de 2015, passou a oferecer certificados confiáveis para a maioria dos clientes por meio de software automatizado
    • Desde então, emitiu bilhões de certificados e se tornou a maior autoridade certificadora do mundo
    • O protocolo ACME foi integrado a todo o ecossistema de servidores e se consolidou como padrão entre administradores de sistemas
  • Em 2023, a organização-mãe sem fins lucrativos Internet Security Research Group (ISRG) também completou 10 anos de fundação
    • Junto com o Let’s Encrypt, segue operando projetos de infraestrutura de interesse público

Crescimento e expansão

  • Alcançou o milionésimo certificado em março de 2016, 1 milhão por dia em setembro de 2018 e 1 bilhão de certificados acumulados em 2020
    • No fim de 2025, já emite mais de 10 milhões de certificados por dia
    • O número de sites ativos está perto de 1 bilhão
  • O aumento no volume de emissão comprova a estabilidade da arquitetura e o sucesso da visão de automação
    • O volume de certificados é um indicador indireto; o ponto central é a ampliação da adoção de HTTPS
    • Segundo estatísticas do Firefox, a taxa de conexões HTTPS subiu de menos de 30% para mais de 80% em cinco anos
    • Nos Estados Unidos, ela se mantém em cerca de 95%

Evolução técnica e melhorias de infraestrutura

  • Adicionou suporte a domínios internacionalizados (IDN) em 2016, certificados wildcard em 2018 e certificados de curta duração e certificados IP em 2025
  • Em 2021, realizou um upgrade dos servidores de banco de dados para lidar com processamento de dados em larga escala
    • A rede interna foi migrada de Gigabit para Ethernet de 25 Gigabits
  • Em 2025, decidiu testar e implantar uma melhoria na estrutura dos logs de Certificate Transparency
    • Também impulsiona upgrades de arquitetura para acompanhar o crescimento contínuo

Cadeia de confiança e atividades de padronização

  • A emissão inicial de certificados públicos foi possível graças à assinatura cruzada da IdenTrust
    • Depois, construiu e distribuiu seus próprios certificados raiz de CA
  • Contribuiu para a evolução da Web PKI em cooperação com o CA/B Forum, a IETF e programas de raiz de navegadores
  • Realiza engenharia de PKI em áreas como gerenciamento da cadeia de certificados, cerimônias de chave e documentação

Filosofia de automação e valor social

  • O objetivo é a automação completa da Web PKI, criando um ambiente em que operadores de sites não precisem nem pensar em certificados
    • Quanto mais bem-sucedida for a automação, maior o risco de o serviço ser visto como algo “natural” ou garantido
    • Por isso, destaca-se a importância de manter a conscientização e garantir apoio contínuo
  • A comunidade apoia o projeto com o uso diário de dezenas de milhões de certificados e com participação em doações
  • Recebeu prêmios como o Levchin Prize (2022), o O’Reilly Open Source Award (2019) e o IEEE Cybersecurity Award (2025)
  • Em 2019, a história e o design do projeto foram registrados academicamente em um artigo apresentado na ACM CCS

Parcerias e visão de futuro

  • Foi lançado com apoio inicial de Mozilla, EFF, Cisco, Akamai e IdenTrust
    • A IdenTrust, em especial, teve papel central para viabilizar o serviço de certificados públicos ao fornecer a assinatura cruzada
  • Nos próximos 10 anos, pretende reduzir barreiras financeiras, técnicas e informacionais para construir uma internet mais segura e favorável à privacidade
  • O Let’s Encrypt é um projeto da ISRG, organização sem fins lucrativos, e continua operando por meio de doações e patrocínios

Leituras relacionadas

1 comentários

 
GN⁺ 2025-12-10
Comentários do Hacker News

  • Graças ao Let's Encrypt, agora é difícil imaginar um site sem TLS
    Em uma empresa anterior, o CEO se recusava a usar porque dizia que “certificado grátis faz a empresa parecer barata” para os clientes, mas isso era uma ideia realmente absurda
    Era a maior autoridade certificadora do mundo, e nenhum cliente jamais ligou para qual emissor do certificado estava sendo usado
    Fico curioso se outras pessoas já receberam feedback negativo sobre usar Let's Encrypt

    • Algumas empresas de hospedagem bloqueiam o uso de certificados externos e restringem tudo para vender apenas seus próprios certificados pagos
      Bloqueiam acesso por SSH ou a contêineres para tornar impossível instalar certificados gratuitos, e cobram preços absurdos pelos certificados próprios
      Se o pessoal da política que não entende de tecnologia entendesse isso, teria virado um escândalo de cartel de preços
    • Do ponto de vista de um CEO em 2022, até dá para entender, porque fazia pouco tempo que os certificados EV tinham desaparecido
      A visualização de EV sumiu no Chrome 77 e no Firefox 70 (2019), e houve gente que não conseguiu se adaptar à mudança depois disso
      Texto relacionado: Extended Validation Certificates Are Really, Really Dead
    • Uma vez avisei sobre o certificado expirado do site da Porsche, e em poucas horas eles trocaram para Let's Encrypt
      Na época fiquei realmente surpreso, e penso no Let's Encrypt como o SSD da internet — parece um upgrade de categoria
    • Houve uma época em que certificados EV eram mais confiáveis do que DV
      Os navegadores davam uma indicação especial para certificados EV, mas essa era já acabou
      Como o processo de renovação era trabalhoso, no dia a dia melhorou, mas também existe uma sensação de que algo se perdeu
    • Uns 15 anos atrás, certificados EV tinham importância no processo comercial, mas depois disso ninguém mais ligou

  • O TLS antes do Let's Encrypt era realmente horrível
    Era preciso pagar por host, fazer a validação de domínio manualmente e gerenciar a renovação todo ano
    Hoje basta instalar um cliente ACME uma vez e acabou; em poucos anos, a taxa de HTTPS subiu de 30% para 80~95%
    A verdadeira inovação só foi possível graças à automação (ACME) e à estrutura sem fins lucrativos
    No futuro, a validade dos certificados deve cair para 45 dias, então a instalação manual vai se tornar inviável
    Ainda faltam automações em áreas como IoT e dashboards internos

    • Antigamente, o prazo de validade do certificado era de 3 anos, e certificados de 2 anos só apareceram em 2018
      O Let's Encrypt já vinha puxando a automação em ciclos curtos desde antes disso
    • Antes dava para instalar um certificado gratuito de 3 anos e esquecer; agora surgem sites expirados com frequência, o que é incômodo
      Acho que o setor de TI dos EUA expulsou as boas CAs do mercado
    • A empresa estava no meio de uma migração de stack e tentamos comprar um certificado temporário, mas por causa de dezenas de subdomínios curinga um certificado de 1 ano custava 30 mil dólares
      Então criamos nossa própria CA e instalamos nos servidores internos, e no fim migramos de volta para o Let's Encrypt
      Hoje é difícil acreditar que esse mercado de certificados tão caros ainda exista
    • No lado de IoT, acho que seria ótimo colocar funcionalidade ACME no protocolo Matter, para que o hub pudesse atuar como sua própria CA
      Na prática isso deve ser difícil em hardware de baixo custo, mas sigo sonhando

  • Quando eu era administrador de sistemas por volta de 2007~2011, eu mesmo gerava CSRs com openssl, comprava certificados da GoDaddy e fazia a distribuição manual
    Hoje parece que o mundo mudou completamente
    O Let's Encrypt é um dos melhores serviços da história da internet

    • Seria ótimo se surgisse algo assim também para S/MIME
    • Aquela época era realmente uma sequência de tarefas tediosas e trabalhosas
    • Até alguns anos atrás eu ainda fazia isso manualmente, mas um amigo me apresentou o Let's Encrypt, e foi como mágica

  • O caso Snowden também foi um grande impulso para a adoção de TLS
    Antes disso, muita gente achava que só sites com transações financeiras precisavam de TLS, e era fácil farejar o tráfego
    Em uma palestra apresentada por um investigador da IRS por volta de 2008, ele disse que criptografia não era obstáculo nenhum ao pegar cassinos ilegais

    • Mas isso é uma reinterpretação posterior dos fatos (retcon)
      O Facebook adotou TLS em 2011, e o Google Mail já usava TLS por padrão em 2010
      Por volta de 2010, sites sem TLS já eram classificados como vulnerabilidade de segurança
    • Na prática, desde o fim dos anos 2000 o HTTPS já tinha se tornado essencial por causa da injeção de anúncios em HTTP
      Proteger a receita publicitária foi um motivador maior do que a NSA

  • É bom que criptografar o tráfego web tenha virado o padrão, mas agora é uma pena que não dê para usar funcionalidades básicas sem a aprovação de uma CA

    • Eu perguntaria o que exatamente significa “aprovação de uma CA”
      O Let's Encrypt só verifica a posse do domínio e não se envolve com o conteúdo do site
      Texto relacionado: Phishing and Malware
    • Isso não é um problema novo; é uma questão estrutural antiga que o Let's Encrypt não conseguiu resolver
      Há vários desses pontos únicos de falha em toda a stack
    • O DNS também é, na prática, um componente obrigatório, então a situação é parecida
      As principais autoridades certificadoras e os TLDs também não perguntam sobre a natureza do site

  • Quando o Let's Encrypt foi anunciado, a reação era “boa ideia, mas será que os navegadores vão aceitar?”
    Hoje uso em todos os meus sites self-hosted, e a empresa também deve migrar para renovação automática
    Quando lembro do sofrimento que era SSL/TLS antigamente, dou um sorriso toda vez que pego um certificado do LE para um site novo

  • Espero que o Let's Encrypt mantenha sua independência e não seja adquirido por uma big tech como o Google
    Um mundo em que emissão de SSL possa ser usada como ferramenta de censura seria horrível
    Hoje em dia os navegadores fazem sites HTTP parecerem quase maliciosos

    • Se o Google quisesse censurar, teria meios mais poderosos do que SSL, como a lista negra do Safe Browsing
    • O Let's Encrypt é uma organização sem fins lucrativos, então não pode ser adquirido como uma empresa comum
      Pela legislação tributária dos EUA, os ativos de entidades sem fins lucrativos precisam permanecer nesse setor, então não há risco de uma big tech estragar isso

  • Todo ano incluo o Let's Encrypt na minha lista de doações
    Numa época em que todos os navegadores exigem HTTPS, sem esse serviço os desenvolvedores independentes teriam muita dificuldade para sobreviver
    É um projeto pelo qual sou realmente grato

  • Os últimos 10 anos foram excelentes
    Daqui para frente, será preciso descentralizar a infraestrutura de emissão e aumentar a resiliência
    Em regiões insulares a internet cai com frequência, e certificados com validade mais curta podem virar um problema
    Espero que haja cooperação com registradores de ccTLD para construir sistemas locais de emissão

  • Uso Let's Encrypt há 7 anos
    Poder manter blog e projetos pessoais em HTTPS melhorou muito minha vida
    Eu provavelmente não pagaria 50 dólares por ano por algo como Nextcloud, mas o ganho de segurança é enorme
    Obrigado a todos que ajudaram a tornar o mundo um lugar um pouco melhor