Let’s Encrypt anunciou oficialmente planos para reduzir o período máximo de validade de seus certificados SSL/TLS de 90 dias para 45 dias.
A transição, que será concluída até 2028, está alinhada com as mudanças mais amplas do setor exigidas pelos requisitos básicos do CA/Browser Forum.
Esta medida foi projetada para melhorar a segurança da Internet, limitando a janela de comprometimento de credenciais roubadas e melhorando a eficiência das tecnologias de revogação de certificados.
Além de reduzir a vida útil do certificado, a Autoridade de Certificação (CA) reduzirá drasticamente o “período de reutilização da autorização”, a duração durante a qual um controle de domínio validado permanece ativo antes que a nova verificação seja necessária.
Atualmente definido em 30 dias, esse período diminuirá para apenas 7 horas na fase final de implementação em 2028.
Vamos criptografar o cronograma de implementação da validação
Para minimizar a interrupção do serviço para milhões de sites, a Let’s Encrypt está usando perfis ACME para escalonar implantações. As alterações serão introduzidas primeiro através de perfis opt-in antes de se tornarem o padrão para todos os usuários.
DataACME ProfilePolicy Change 13 de maio de 2026tlsserver (Opt-in)O perfil muda para a emissão de certificados de 45 dias. Destinado a testes e primeiros usuários.10 de fevereiro de 2027clássico (padrão)A emissão padrão passa para certificados de 64 dias com um período de reutilização de autorização de 10 dias.16 de fevereiro de 2028clássico (padrão)Aplicação total de certificados de 45 dias com um período de reutilização de autorização de 7 horas.
Embora a maioria dos ambientes automatizados lide com essas alterações sem problemas, o período de validade reduzido exige uma revisão das configurações de renovação atuais.
Os administradores que dependem de intervalos de renovação codificados, como um cron job executado a cada 60 dias, enfrentarão interrupções, pois os certificados expirarão antes que a renovação seja acionada.
Let’s Encrypt informa que o comportamento aceitável do cliente envolve a renovação de certificados aproximadamente dois terços de sua vida útil.
Para facilitar isso, a organização recomenda habilitar o ACME Renewal Information (ARI), um recurso que permite à CA sinalizar precisamente quando um cliente deve renovar.
O gerenciamento manual de certificados é fortemente desencorajado, pois a carga administrativa de renovação a cada poucas semanas aumenta a probabilidade de erro humano e de certificados expirados.
A redução na reutilização de autorizações significa que os clientes devem comprovar o controle do domínio com mais frequência. Para resolver o atrito que isso causa para os usuários que não conseguem automatizar facilmente as atualizações de DNS, a Let’s Encrypt está colaborando com a IETF para padronizar um novo método de validação: DNS-PERSIST-01.
Com lançamento previsto para 2026, este protocolo permite uma entrada TXT de DNS estático. Ao contrário do desafio atual do DNS-01, que exige um novo token para cada renovação, o DNS-PERSIST-01 permite que o registro de verificação inicial permaneça inalterado.
Este desenvolvimento permitirá renovações automatizadas para infraestruturas onde as atualizações dinâmicas de DNS são restritas ou tecnicamente difíceis, reduzindo a dependência de autorizações em cache.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
