A organização Let’s Encrypt reduzirá gradualmente o período de validade dos certificados TLS, de 90 dias para 45 dias, até 2028, atendendo às exigências internacionais para fortalecer a segurança, diminuir o risco decorrente de chaves comprometidas e tornar a revogação mais eficaz.
A transição acontecerá em etapas suaves. Em 2026, haverá testes com certificados de 45 dias; em 2027, emitirá certificados de 64 dias de validade; e em 2028, será de 45 dias, acompanhado do período de reutilização reduzido. Essas alterações afetarão apenas certificados novos emitidos após cada marco.
Usuários que contam com renovação automática provavelmente não precisarão ajustar muito seus sistemas, mas é essencial garantir que a automação suporte prazos menores. A recomendação é habilitar o recurso ACME Renewal Information, que informa ao cliente o momento adequado para renovar.
Para setups sem esse recurso, a renovação deve ocorrer aproximadamente após dois terços da validade configurada. Renovação manual se tornará impraticável devido à frequência exigida, e a implementação de monitoramento é importante para detectar falhas.
Para facilitar a automação, está sendo criado um novo método de validação chamado DNS-PERSIST-01. Ele permitirá usar um único registro DNS estático para validar o domínio, eliminando a necessidade de atualizações a cada renovação e evitando que o cliente precise ter acesso direto ao sistema DNS. Isso ampliará a adoção de automações mais simples e seguras.
A renovação acontecerá com mais frequência, mas o processo continuará transparente se o usuário usar um cliente ACME moderno e configurado corretamente. Ferramentas como Certbot, acme.sh ou os sistemas integrados nas hospedagens já fazem isso de forma automática, então a maior parte dos usuários não precisará modificar nada.
O principal risco é para quem depende de configurações antigas, scripts manuais ou renova certificados “na mão”. Nesses casos, a chance de esquecer ou de ocorrer falha aumenta, e o site pode ficar temporariamente sem HTTPS.
Soluções de DNS, servidores simples ou hospedagens compartilhadas que não atualizarem seus processos podem enfrentar falhas de renovação com mais frequência, o que exige atenção para ter monitoramento ativo.
A futura validação DNS-PERSIST-01 tende a facilitar muito a vida de quem usa DNS externo ou não quer dar ao cliente ACME controle sobre o DNS, pois elimina atualizações constantes do registro TXT.
Paralelamente, o período no qual a comprovação de controle de domínio pode ser reutilizada será drasticamente encurtado, caindo de 30 dias para 7 horas no mesmo prazo.