Let's Encrypt inicia disponibilidade geral de certificados de 6 dias e certificados para endereços IP

 (letsencrypt.org)
14 pontos por GN⁺ 2026-01-17 | 1 comentários | Compartilhar no WhatsApp
  • Let's Encrypt começou a oferecer oficialmente certificados de curta duração com validade de 6 dias e certificados baseados em endereços IP
  • Os certificados de curta duração são válidos por 160 horas (cerca de 6 dias e 16 horas) e podem ser emitidos selecionando o perfil shortlived no cliente ACME
  • Esses certificados têm o objetivo de incentivar renovações frequentes para reforçar a segurança e reduzir a dependência de procedimentos de revogação pouco confiáveis
  • Os certificados para endereços IP suportam tanto IPv4 quanto IPv6 e, devido à alta variabilidade dos endereços IP, são emitidos apenas no formato de curta duração
  • A medida é vista como uma mudança gradual para ampliar a renovação automatizada de certificados e reforçar a segurança

Disponibilização de certificados de curta duração (6 dias)

  • O certificado de curta duração (short-lived certificate) é válido por 160 horas, com uma vida útil muito menor que a dos certificados tradicionais de 90 dias
    • Pode ser emitido ao selecionar o perfil de certificado shortlived no cliente ACME
  • Esses certificados reforçam a segurança ao exigir validações mais frequentes e mitigar os problemas de instabilidade do sistema de revogação
    • Antes, quando havia vazamento de chave privada, era necessário revogar o certificado, mas como o processo de revogação não era confiável, o estado vulnerável podia persistir até o vencimento
    • Com certificados de curta duração, esse período de vulnerabilidade é significativamente reduzido
  • Os certificados de curta duração são opcionais (opt-in) e não há plano de torná-los padrão
    • Usuários que já implementaram totalmente um processo de renovação automática podem migrar com facilidade
    • Mas, considerando que nem todos os usuários estão acostumados com ciclos tão curtos, o padrão será mantido
  • Nos próximos anos, está previsto reduzir a validade padrão dos certificados de 90 dias para 45 dias

Certificados para endereços IP

  • O certificado para endereço IP (IP address certificate) permite autenticar conexões TLS por endereço IP em vez de nome de domínio
    • Compatível com IPv4 e IPv6
  • Os certificados para endereços IP devem ser emitidos exclusivamente como certificados de curta duração
    • Como os endereços IP mudam com mais frequência do que domínios, isso exige validações frequentes
  • Mais detalhes e casos de uso relacionados podem ser consultados na primeira publicação sobre certificados IP, divulgada em julho de 2025

Suporte e patrocínio

  • Este desenvolvimento contou com apoio do Open Technology Fund, Sovereign Tech Agency e de patrocinadores e doadores
  • O Let's Encrypt é uma autoridade certificadora (CA) gratuita, automatizada e aberta operada pela organização sem fins lucrativos Internet Security Research Group (ISRG)
  • O relatório anual de 2025 da ISRG traz informações sobre as atividades da organização sem fins lucrativos como um todo

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-17
Opiniões do Hacker News

  • Até hoje, não era possível obter um certificado de endereço IP com o certbot
    Em vez disso, usei o lego e levei um bom tempo para encontrar o comando exato
    O comando que funcionou ontem foi este
    lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived

    • Fiquei curioso se o Caddy também oferece suporte a isso
      Parece que ainda está em andamento (issue no GitHub)

  • Certificados para endereço IP são um tema especialmente interessante para usuários de iOS que operam seu próprio servidor DoH
    No iOS, só funcionava se houvesse certificados corretos tanto para o FQDN quanto para o IP
    Por isso, perfis de serviços grandes como dns4eu ou nextdns funcionavam bem, mas servidores DoH pessoais falhavam

    • O OpenSSL exige estritamente que o campo SAN do certificado inclua o endereço IP durante a conexão TLS
      Provavelmente isso não foi algo adicionado explicitamente por um engenheiro do iOS, mas um possível efeito colateral da biblioteca criptográfica usada
    • Eu uso diariamente meu domínio pessoal com DoH por trás de um proxy reverso e não tenho problema algum

  • Fiquei me perguntando por que um certificado de 6 dias
    Achei que 8 dias seria melhor para renovar em ciclos semanais, e 8 é uma potência de 2 e um número de sorte
    Mas 6 simplesmente não me agrada

    • Com um ciclo de 6 dias, a carga acaba ficando uniformemente distribuída ao longo da semana no longo prazo
      Com 8 dias, o tráfego pode se concentrar em certos dias da semana
    • Na prática, não são 6 dias, mas cerca de 160 horas (6,6 dias)
      160 também é a soma dos 11 primeiros números primos e a soma dos cubos dos três primeiros primos
    • 6 dias também simbolizam que Deus trabalhou 6 dias e descansou no sétimo
    • 6 é o menor número perfeito (perfect number), então simboliza perfeição

  • Espero que o próximo foco seja emitir certificados para endereços .onion
    O .onion já possui um par de chaves, então a prova de posse pode ser mais confiável do que via DNS

  • Se você quer certificados IP, o certbot ainda não oferece suporte
    Há um PR aberto sobre isso (#10495)
    Já o acme.sh aparentemente já suporta

    • Entre os clientes ACME que atualmente suportam endereços IP estão acme.sh, lego, traefik, acmez, caddy, cert-manager
      Espero que o certbot também passe a oferecer suporte em breve

  • Eu estava testando com um ciclo de renovação de 2 semanas, então levei um susto quando o certificado passou a sair com 6 dias
    Se o pipeline falhar, sobra pouquíssimo tempo para depurar
    É difícil aceitar a justificativa de que IP é mais volátil do que domínio
    O IP fixo de um VPS não muda com tanta frequência assim

    • Mas em ambientes como a AWS, um Elastic IP pode ser liberado imediatamente
      Se alguém emitir um certificado de 45 dias e devolver o IP logo em seguida, outro usuário pode passar a usar esse IP
      Nesse caso, a pessoa ficaria com um certificado válido para o IP de outra pessoa, o que é perigoso
    • Em ambientes de nuvem, os IPs são realocados rapidamente, então eu diria que 6 dias já é até bastante
    • Um tempo de vida tão curto para o certificado não combina com formas realistas de operação
      Esse tipo de política parece uma abordagem de quem conhece pouco a prática do dia a dia em produção
    • A questão é o controle de posse do IP
      A maioria dos operadores de serviço não controla diretamente o próprio IP, então isso é uma medida para reduzir o risco do CA
    • Em uma instância EC2, se você não associar um EIP, quase sempre receberá outro IP ao reiniciar
      É difícil abusar disso, mas ainda assim continua sendo um ponto relevante de segurança

  • Fiquei pensando se, com certificados IP, o modo de transporte do IPsec pode voltar a ganhar atenção
    O RFC 5660, que eu escrevi, também tem relação com isso

    • Mas, na prática, SDN e VPN site-to-site já estão amplamente difundidos
      Continuar exigindo certificados em túneis IPsec ainda é algo incômodo
      Alguns appliances de firewall também têm bugs estranhos que causam falhas de autenticação quando a cadeia de certificados é longa
    • O padrão IPSec é grande e complexo demais, e até as empresas que o criaram continuaram recebendo CVEs por décadas

  • Como certificados IP só são possíveis para endereços acessíveis pela internet, o TLS para dispositivos na LAN continua sendo difícil

    • Com IPv6, isso pode ser feito sem exposição externa
      Basta receber o tráfego por DNAT na borda, encaminhá-lo para uma VM de renovação de certificados e então distribuí-lo ao dispositivo interno
    • Eu uso um certificado curinga (*.home.example.com) para minha rede doméstica
      É preciso um DNS público que permita configurar registros TXT por API, mas os plugins DNS do lego suportam vários provedores
    • Nesses casos, usar uma CA privada também é uma opção
    • Como não dá para provar externamente a posse de um endereço de rede interna, acho melhor simplesmente usar um domínio

  • Fiquei realmente muito feliz com este anúncio
    Certificados IP resolvem o problema de bootstrap inicial de software self-hosted
    Por exemplo, talvez o recurso de subdomínios instantâneos do TakingNames deixe de ser necessário

  • Certificados de endereço IP são úteis quando serviços efêmeros (ephemeral services) precisam se comunicar via TLS
    Como não é necessário criar registros DNS separados, isso é prático ao subir centenas de instâncias temporárias

    • Também pode ser útil para Encrypted Client Hello (ECH)
      Em vez de usar SNI exposto em texto puro, é possível usar um certificado IP, de modo que ninguém de fora veja o nome real do host
      Assim, até sites pequenos fora das grandes nuvens podem usar ECH sem proxy
    • O anúncio oficial do Let's Encrypt reúne vários casos de uso
    • O fato de não haver dependência de registrador é atraente
      Isso traz mais anonimato
    • Para serviços que não são voltados a pessoas, eliminar a dependência de nameserver é especialmente útil
    • Isso também pode ser aplicado a protocolos como DNS over TLS e DNS over HTTPS