AVALIAÇÃO GRATUITA

Expiração do Certificado de 45 Dias do Let’s Encrypt: Monitoramento e Mais

Inicie uma avaliação gratuita
Nossa solução de monitoramento

Os prazos de validade dos certificados TLS estão encolhendo rapidamente — e isso muda como cada organização lida com renovações, validação e prevenção de interrupções. O Let’s Encrypt confirmou que passará de certificados de 90 dias para certificados de 45 dias (com implementações em etapas) e reduzirá drasticamente as janelas de reutilização de autorização. Ao mesmo tempo, o Balot SC-081v3 do CA/Browser Forum adotou um cronograma mais amplo da indústria que, em última análise, limita os certificados TLS públicos a 47 dias até 15 de março de 2029.

Para equipes que gerenciam dezenas — ou milhares — de certificados, a verdadeira história não é “certificados mais curtos.” É maior velocidade de renovação, reutilização de validação mais rigorosa e uma margem muito menor para erro operacional. O monitoramento e alerta de sites tornam-se não negociáveis.

O que está mudando nos prazos de validade dos certificados SSL/TLS?

A Política de 45 Dias (Let’s Encrypt)

Atualmente, o Let’s Encrypt emite certificados válidos por 90 dias e reduzirá isso para 45 dias até 2028. Isso não é uma “mudança repentina.” O Let’s Encrypt está implementando isso em etapas usando Perfis ACME:

Data
Mudança
Reutilização de Autorização
Perfil Afetado
13 de maio de 2026 Fase 1
Problemas do perfil tlsserver com certificados de 45 dias
30 dias (inalterado)
Adotantes iniciais / testes
10 de fevereiro de 2027 Fase 2
O perfil clássico padrão muda para certificados de 64 dias
Reduzido para 10 dias
Todos os usuários não estão em tlsserver ou shortlived
16 de fev de 2028 Fase 3
O perfil clássico padrão muda para certificados de 45 dias
Reduzido para 7 horas
Todos os usuários no perfil padrão

Principais Conclusões

O período de reutilização da autorização é tão importante quanto a própria duração do certificado. É a janela de tempo durante a qual a validação de controle de domínio anterior pode ser reutilizada para emitir certificados adicionais. O Let’s Encrypt reduzirá isso de 30 dias para apenas 7 horas até 2028 — tornando a automação ACME confiável obrigatória, não opcional.

A Linha de Base da Indústria: 47 Dias (Fórum CA/Navegador)

O voto SC-081v3 do Fórum CA/Navegador introduziu um cronograma faseado que reduz a validade máxima dos certificados TLS públicos para 200 dias (2026), 100 dias (2027), e 47 dias (2029).

Os “45 dias” do Let’s Encrypt são totalmente compatíveis com o máximo de “47 dias” da indústria — o Let’s Encrypt está simplesmente planejando alcançar esse estado final um ano antes do que o mandato do Fórum CA/B exige.

Por que as Durações dos Certificados Estão Sendo Reduzidas?

Durações mais curtas são uma questão de segurança e resiliência, impulsionadas por quatro objetivos interconectados:

  • Raio de explosão reduzido para comprometimento: Se uma chave privada for roubada ou um certificado for mal emitido, a validade mais curta limita quanto tempo esse certificado pode ser abusado.
  • Ecossistema de revogação mais eficaz: Certificados de vida mais curta reduzem a dependência de que a revogação seja perfeita, e o Let’s Encrypt observa que durações mais curtas tornam as tecnologias de revogação mais eficientes.
  • Menos dados de validação obsoletos: As mudanças do CA/B também diminuem quanto tempo a validação de domínio e IP pode ser reutilizada — reduzindo para 10 dias até março de 2029.
  • Impulso em direção à automação e agilidade: Programas de navegador e raiz estão explicitamente incentivando a automação porque isso permite ciclos de vida mais curtos com menos interrupções e melhorias de segurança mais rápidas.

Linha do Tempo das Reduções de Duração dos Certificados

Aqui está a história prática por trás da progressão de 825 dias para 45 dias:

Validade Máxima
Era
Motor Principal
825 dias
Máximo legado pré-2020
Sem limite de setor imposto
398 dias
Setembro de 2020 em diante
A Apple impôs um máximo de 398 dias para certificados emitidos após 1º de setembro de 2020; certificados não conformes causam falhas de conexão
90 dias
Norma Let’s Encrypt (2014–2027)
Let’s Encrypt criou a expectativa “nativa à automação”; a equipe de segurança do Chrome enfatizou a automação para agilidade e resiliência
45 / 47 dias
meta de 2028–2029
Let’s Encrypt alcança 45 dias (16 de fevereiro de 2028); CA/B Forum limita a indústria a 47 dias (15 de março de 2029)

Impacto na Indústria do Deslocamento de Certificados de 45 Dias

Esta não é uma mudança exclusiva do Let’s Encrypt. O Let’s Encrypt afirma explicitamente que está se movendo “junto com o resto da indústria” sob os Requisitos Básicos do CA/Browser Forum, e que todas as CAs publicamente confiáveis farão mudanças semelhantes.

Como Isso Afeta o Let’s Encrypt e Outras CAs

  • A velocidade de renovação se torna o modo operacional padrão: Até 2029, as organizações efetivamente viverão em um ciclo contínuo de renovação — especialmente em grande escala.
  • A reutilização de validação diminui drasticamente: A reutilização de validação de domínio e IP está programada para cair para 10 dias até março de 2029, tornando processos manuais ou ocasionais frágeis.
  • Inteligência de ACME e renovação importa mais: O Let’s Encrypt recomenda usar Informações de Renovação ACME (ARI) para que os clientes saibam quando renovar, e alerta que intervalos de renovação codificados, como “a cada 60 dias”, falharão em um mundo de 45 dias.
  • Novas abordagens de validação estão surgindo: O Let’s Encrypt está trabalhando no DNS-PERSIST-01 para reduzir a carga operacional de validação frequente de domínio, permitindo um registro DNS TXT persistente — esperado para 2026.

Desafios Operacionais dos Certificados de 45 Dias

Certificados de 45 dias não significam apenas “renovar duas vezes mais frequentemente.” Eles mudam fundamentalmente os modos de falha:

  • Menor margem para erros: Uma janela de renovação perdida pode rapidamente se transformar em tempo de inatividade visível para o usuário.
  • Mais partes móveis: Balanceadores de carga, CDNs, ingressos do Kubernetes, malhas de serviço, gateways de API e dispositivos legados podem precisar de atualizações coordenadas.
  • Fricção de validação: Com a reutilização de autorização caindo para tão baixo quanto 7 horas para o perfil clássico do Let’s Encrypt até 2028, a automação de desafios DNS/HTTP deve ser confiável — não “melhor esforço.”
  • Pontos cegos de inventário: A maioria das interrupções acontece em certificados “esquecidos” — endpoints não produtivos promovidos para produção, subdomínios antigos, domínios gerenciados por parceiros ou certificados incorporados em dispositivos e middleware.
  • Sobrecarregamento de gerenciamento de mudanças: A rotação mais frequente de certificados aumenta a chance de configurações incorretas: cadeia errada, cadeia incompleta, incompatibilidade de nome de host ou implantação apenas em alguns nós.

Porque muitos desses modos de falha acontecem após o certificado ser emitido — durante a propagação, recargas, cache de borda ou implantações parciais — as equipes se beneficiam ao adicionar validação externa: verificações que confirmam o que os clientes reais recebem em produção, não apenas o que os logs internos dizem que aconteceu.

Por Que o Monitoramento de Expiração de Certificados É Crítico

O próprio Let’s Encrypt recomenda ter monitoramento suficiente para alertar se os certificados não forem renovados quando esperado, usando uma ferramenta de monitoramento SSL. Na prática, o monitoramento é o que detecta:

  • Automação de renovação que falhou silenciosamente;
  • Certificados expirando “fora do ciclo” devido à reemissão;
  • Alterações de cadeia ou emissor;
  • Incompatibilidades de nome de host e implantações incompletas.

Sem monitoramento adequado, certificados SSL podem fazer com que os navegadores exibam avisos “Sua conexão não é privada”, prejudicar classificações de SEO da noite para o dia e bloquear visitantes de acessar seu site completamente. As consequências são imediatas e mensuráveis — e com certificados de 45 dias renovando aproximadamente a cada 30 dias, a janela para detectar uma falha silenciosa antes que se torne uma interrupção visível para o usuário é significativamente mais estreita.

🔍  Como o Dotcom-Monitor Mantém Seus Certificados Válidos

O Monitoramento de Certificados SSL do Dotcom-Monitor atua como um verificador de certificados inteligente e sempre ativo que realiza verificações regulares de 30+ locais globais. Assim que você adiciona um domínio, a plataforma começa a validar o certificado da mesma forma que usuários reais ao redor do mundo o experimentam — realizando um handshake TLS completo, não apenas um ping.

Para cada domínio ou endpoint monitorado, a plataforma verifica automaticamente:

  • Integridade da cadeia de certificados e correção do emissor;
  • Datas de expiração e contagem regressiva de dias restantes;
  • Alinhamento de SAN e nome de host;
  • Quaisquer incompatibilidades, respostas inválidas ou emissores não confiáveis;
  • Saúde da configuração em todos os dispositivos monitorados.

Todos os resultados são apresentados em um painel centralizado em tempo real com classificação e filtragem inteligentes — para que as equipes possam identificar problemas antes que eles se agravem, seja gerenciando um punhado de domínios ou centenas.

Riscos de Automação em um Mundo de 45 Dias

Vida útil de certificados mais curtas aumentam a frequência de eventos de renovação e, com isso, a probabilidade de falha da automação. Em um ciclo de 45 dias, até mesmo pequenas fraquezas operacionais surgem mais rapidamente e com mais frequência.

Por Que a Automação Sozinha Quebrará Mais Frequentemente em um Mundo de 45 Dias

Os pontos de falha mais comuns incluem:

  • Registros DNS-01 propagando mais lentamente do que o esperado;
  • Desafios HTTP-01 interceptados por camadas de CDN ou WAF;
  • Políticas de firewall mal configuradas bloqueando a validação;
  • Limites de taxa ACME acionados durante tentativas;
  • Contêineres descartando diretórios de certificados durante reinicializações;
  • Tempos de sistema falhando silenciosamente;
  • Balanceadores de carga nunca recarregando o certificado atualizado.

Importante:

Esses problemas não se tornaram novos problemas — eles se tornaram problemas urgentes. Quando as renovações ocorrem duas vezes mais frequentemente, a probabilidade de encontrar uma dessas condições aumenta proporcionalmente. A automação continua sendo essencial, mas sem detecção externa, opera às cegas em relação ao lado de implantação do ciclo de vida.

🔍  Como o Dotcom-Monitor Detecta Falhas de Renovação

Quando a automação da ACME falha silenciosamente — um timer do systemd que não disparou, um desafio DNS que expirou, um balanceador de carga que nunca recarregou — o Dotcom-Monitor detecta isso através da validação contínua de fora para dentro. A plataforma envia notificações instantâneas no momento em que detecta um certificado que está se aproximando da expiração ou que já entrou em um estado inválido, independentemente do que seus logs de automação interna relatam.

Os alertas são entregues pelos canais que sua equipe já utiliza:

  • Email
  • SMS
  • Slack
  • Microsoft Teams
  • PagerDuty
  • Webhooks

Limites de alerta personalizáveis significam que você recebe avisos exatamente no momento certo — não muito cedo para causar fadiga de alerta, e não muito tarde para prevenir uma interrupção. Cada alerta identifica claramente o certificado, domínio e ação recomendada.

O Risco Oculto: Desvio de Implantação Após Renovação

O sucesso da renovação não é o sucesso da implantação. Em ambientes distribuídos, esses dois estados frequentemente divergem. Essa divergência é chamada de desvio de implantação — e é um dos modos de falha de TLS mais subestimados. Causas comuns incluem:

  • CDNs continuando a servir cadeias de certificados em cache após atualizações de origem;
  • Balanceadores de carga de múltiplas regiões atualizando em uma região, mas não em outra;
  • Pods do Kubernetes falhando ao recarregar segredos TLS atualizados;
  • Proxies reversos exigindo reinicializações completas para pegar novos pares de chaves;
  • Nós de borda ficando para trás durante atualizações de infraestrutura em andamento.

Ponto Principal

Em um ciclo de 90 dias, o desvio era um incidente ocasional. Em um ciclo de 45 dias, o desvio se torna estatisticamente mais provável, a menos que monitorado explicitamente. Ciclos de vida mais curtos não apenas aumentam a frequência de renovação — eles aumentam o risco de propagação em sistemas distribuídos.

Por Que o Monitoramento Externo de Certificados É a Verificação Independente Mais Confiável

Sistemas internos observam o pipeline de renovação. Sistemas externos observam a experiência do usuário. Essas perspectivas divergem em muitos casos. O monitoramento interno pode confirmar que o cliente ACME foi executado, que o certificado foi emitido e que o arquivo foi gravado no disco — mas muitas vezes não pode confirmar que o certificado correto está sendo servido na borda, que cada região está atualizada ou que a cadeia de confiança está completa.

O monitoramento externo valida certificados da maneira que os clientes fazem:

  • Executa um handshake TLS completo;
  • Inspeciona a integridade da cadeia;
  • Verifica o alinhamento de SAN e nome do host;
  • Detecta mudanças inesperadas de emissor/cadeia;
  • Confirma datas de expiração em produção

Ponto Principal

Mais importante, o monitoramento externo pode ser executado de locais geográficos distribuídos, o que ajuda a detectar desvios em nível regional e inconsistências na borda da CDN que um único ponto de vista interno perderá. Verificações de fora para dentro são a maneira mais confiável de validar que o sucesso da renovação se traduziu em entrega correta em produção.

🔍  Por Que o Dotcom-Monitor É a Verificação Independente Que Sua Pilha de Automação Precisa

O Dotcom-Monitor verifica seus certificados em servidores em todo o mundo, fornecendo resultados precisos para tráfego internacional e garantindo monitoramento contínuo de SSL, independentemente de onde seus certificados estão hospedados. Esse alcance global é particularmente importante para sites com infraestrutura distribuída — bordas de CDN, balanceadores de carga de múltiplas regiões e clusters do Kubernetes — onde um certificado pode ser corretamente renovado na origem, mas ainda não propagado para cada nó de borda.

A plataforma suporta monitoramento em redes de borda, balanceadores de carga e CDNs — as camadas exatas onde o desvio de implantação ocorre com mais frequência. Também suporta relatórios globais programados (diários, semanais ou mensais) que compilam cronogramas, atualizações de status e saúde do certificado em todos os dispositivos monitorados, reduzindo o trabalho manual e apoiando a visibilidade entre equipes.

Para organizações focadas em conformidade, o Dotcom-Monitor gera relatórios de auditoria exportáveis que incluem detalhes do certificado, informações do emissor, registros de cadeia de confiança e logs de erro — tudo que os auditores normalmente exigem, em um só lugar.

Construindo uma Estratégia de Monitoramento para Certificados de Curta Duração

Um ciclo de vida de certificado de 45 dias requer mais do que um alerta básico de expiração. O monitoramento deve evoluir de “me lembre antes de expirar” para “verificar continuamente a implantação correta.”

Comece Com um Inventário Completo

A maioria das interrupções se origina de pontos cegos. Certifique-se de que o monitoramento inclua todos os sites públicos e subdomínios, APIs e endpoints voltados para parceiros, bordas de CDN e servidores de origem, gateways internos expostos externamente e infraestrutura e dispositivos legados. Endpoints não monitorados são risco não gerenciado.

1

Monitore de Múltiplas Localizações Globais

Uma única sonda não pode detectar desvios regionais, inconsistências na borda da CDN ou problemas de cadeia de confiança específicos de ISPs. A validação global garante a correção da cadeia em todos os lugares, consistência de região para região e sucesso na propagação na borda. Dotcom-Monitor verifica de mais de 30 localizações globais, tornando essas verificações em múltiplas localizações repetíveis e consistentes em um cronograma — sem qualquer esforço manual após a configuração inicial.

2

Valide Mais do Que a Expiração

A expiração é apenas um modo de falha. O monitoramento também deve verificar:

  • Cadeia de confiança completa e CA intermediária correta;
  • Precisão de SAN/nome do host;
  • Compatibilidade de cifra e protocolo;
  • Alterações inesperadas de emissor.
3

Acione a Validação Pós-Renovação

Eventos de renovação devem iniciar automaticamente a validação de produção imediata, comparação de certificados em múltiplas regiões e verificações de verificação de cadeia. O desvio geralmente aparece imediatamente após a renovação — não antes da expiração.

4

Use Alertas em Camadas para um Ciclo de Vida de 45 Dias

Com a compressão dos ciclos de vida, o tempo de alerta importa mais. O Dotcom-Monitor permite limites de alerta totalmente personalizáveis, para que você possa configurar um modelo de escalonamento estruturado adaptado a um ciclo de vida de certificado de 45 dias:
20
DIAS RESTANTES
Informativo
10
DIAS RESTANTES
Aviso
5
DIAS RESTANTES
Crítico
0
FALHA DE HANDSHAKE
Imediato
5

Pensamentos Finais: Monitoramento & Detecção na Era de 45 Dias

Certificados de curta duração melhoram a postura de segurança. Eles também comprimem a tolerância operacional e reduzem a janela para detectar erros de configuração ou implantação. A automação continua sendo obrigatória — mas automação sem verificação se torna frágil em grande escala.

A verdadeira mudança operacional na era de 45 dias é esta:

  • A renovação é contínua;
  • As janelas de reutilização de validação estão encolhendo;
  • A deriva de implantação se torna estatisticamente mais frequente;
  • A verificação externa se torna obrigatória

O Monitoramento de Certificados SSL do Dotcom-Monitor é projetado exatamente para esse ambiente. Ele fornece validação externa da correção da cadeia, alinhamento de nome de host, status de expiração e consistência de implantação global — de mais de 30 locais em todo o mundo, com alertas em tempo real entregues ao Slack, Teams, e-mail, SMS e PagerDuty. Seja você responsável por um único domínio ou centenas, a plataforma mantém cada certificado organizado, rastreado e verificado automaticamente.

🔍 O que Faz do Dotcom-Monitor a Escolha Certa para a Era de 45 Dias

À medida que os ciclos de vida do TLS encurtam em toda a indústria, a detecção e verificação se tornam controles fundamentais em vez de salvaguardas opcionais. Aqui está o que o Dotcom-Monitor oferece que a automação interna sozinha não pode:

Capacidade
O que Resolve
30+ locais de monitoramento global
Detecta deriva regional e inconsistências na borda do CDN
Validação completa do handshake TLS
Confirma o que usuários reais recebem, não apenas o que os logs internos relatam
Verificação de cadeia e emissor
Detecta cadeias incompletas, intermediários errados e mudanças inesperadas de emissor
Limites de alerta de expiração personalizáveis
Avisos em níveis de 20, 10, 5 dias — calibrados para ciclos de vida de 45 dias
Alertas via Slack, Teams, PagerDuty, SMS
Alcança a pessoa certa pelo canal certo, instantaneamente
Relatórios programados automatizados
Exportações prontas para auditoria com detalhes de emissor, cadeia, algoritmo e erro
Suporte a Edge, CDN e balanceador de carga
Monitora as camadas exatas onde a deriva de implantação ocorre com mais frequência
Painel centralizado de múltiplos domínios
Uma única visão para equipes que gerenciam dezenas ou centenas de certificados
Iniciar um Teste Gratuito — Sem Cartão de Crédito Necessário

FAQ: Expiração do Certificado de 45 Dias do Let’s Encrypt

Quando o Let’s Encrypt começará a emitir certificados de 45 dias?
O Let’s Encrypt introduz certificados de 45 dias em etapas: um perfil ACME tlsserver opcional começa em 13 de maio de 2026, e o perfil padrão classic atinge 45 dias em 16 de fevereiro de 2028. As mudanças serão implantadas no ambiente de testes aproximadamente um mês antes de cada data de produção.
O novo padrão é de 45 dias ou 47 dias?
O Balot SC-081v3 do CA/Browser Forum limita os certificados TLS públicos a 47 dias a partir de 15 de março de 2029. O Let’s Encrypt planeja emitir certificados de 45 dias mais cedo (até fevereiro de 2028), o que se encaixa nesse máximo da indústria. Ambas as cifras descrevem o mesmo estado final — o Let’s Encrypt simplesmente alcança isso um ano antes do prazo do CA/B Forum.
Com que frequência os certificados precisarão ser renovados com validade de 45 dias?
A maioria das equipes renova aproximadamente dois terços da vida útil do certificado — o que significa aproximadamente a cada 30 dias com certificados de 45 dias. O Let’s Encrypt alerta explicitamente que intervalos de renovação codificados, como "a cada 60 dias", falharão em um mundo de 45 dias. Usar Informações de Renovação ACME (ARI) é a abordagem recomendada.
O que acontece se um certificado SSL/TLS expirar?
Os usuários veem avisos de segurança do navegador ou falhas de conexão, o que bloqueia o acesso e interrompe transações. Certificados expirados também podem interromper a indexação por mecanismos de busca e o monitoramento de uptime. Com certificados de 45 dias, a janela entre uma renovação perdida e uma interrupção visível para o usuário é significativamente mais curta do que com certificados de 90 dias.
A redução do CA/Browser Forum afeta certificados DV, OV e EV?
Sim. O cronograma do CA/Browser Forum Ballot SC-081v3 se aplica a todos os tipos de certificados TLS publicamente confiáveis — DV, OV e EV — e também reduz quanto tempo os dados de validação de domínio e IP podem ser reutilizados (para 10 dias até março de 2029).
O que é o "período de reutilização de autorização" e por que isso é importante?
O período de reutilização de autorização é a janela de tempo durante a qual a validação de controle de domínio anterior pode ser reutilizada para emitir certificados adicionais sem precisar comprovar novamente o controle. O Let's Encrypt reduzirá isso de 30 dias para apenas 7 horas até fevereiro de 2028. Isso torna a automação confiável de desafios DNS e HTTP obrigatória — processos de validação manuais ou infrequentes não serão viáveis.
O que é ARI (Informações de Renovação ACME)?
Informações de Renovação ACME (ARI) é uma extensão de protocolo que permite ao Let's Encrypt sinalizar para os clientes ACME exatamente quando eles devem renovar um certificado. O Let's Encrypt recomenda habilitar o ARI para garantir que as renovações permaneçam no cronograma à medida que as durações diminuem, em vez de depender de intervalos codificados.
Como o Dotcom-Monitor pode ajudar a prevenir interrupções por expiração de certificados?
O Monitoramento de Certificados SSL do Dotcom-Monitor realiza verificações externas da validade do certificado, correção da cadeia e alinhamento do nome do host de múltiplas localizações globais, com alertas em camadas via e-mail, SMS, Slack e Teams. Isso ajuda as equipes a detectar falhas de renovação, desvios de implantação e inconsistências regionais antes que os usuários sejam afetados.
Matthew Schmitz
About the Author
Matthew Schmitz
Diretor de Testes de Carga e Desempenho na Dotcom-Monitor

Como Diretor de Testes de Carga e Desempenho na Dotcom-Monitor, Matt atualmente lidera um grupo de engenheiros e desenvolvedores excepcionais que trabalham juntos para criar soluções de testes de carga e desempenho de ponta para as necessidades empresariais mais exigentes.

In this article

Artigos mais recentes sobre desempenho na Web

Comece o Dotcom-Monitor gratuitamente hoje

Não é necessário cartão de crédito

Comece grátis AGORA