Seu certificado SSL vence e você só descobre quando o cliente liga reclamando do aviso “Não seguro” no navegador. Se essa situação já aconteceu com você — ou quase aconteceu — prepare-se: ela vai se tornar muito mais frequente. A partir de março de 2026, a validade máxima dos certificados SSL/TLS públicos cai pela metade. E nos próximos três anos, vai cair de novo. E de novo.
O resultado? Em 2029, um certificado SSL vai durar no máximo 47 dias. Isso mesmo: pouco mais de um mês. Se hoje a renovação anual já pegava muita gente desprevenida, imagine renovar quase 8 vezes por ano.
Neste artigo, vamos destrinchar o que está acontecendo, por que essa mudança foi aprovada, qual o cronograma exato, como o Let’s Encrypt está indo além, e — o mais importante — o que você pode fazer agora para não ser pego de surpresa.
Quem decidiu encurtar a validade dos certificados SSL?
A decisão veio do CA/Browser Forum (CA/B Forum), o consórcio internacional que define as regras de emissão de certificados digitais na internet. Ele reúne as principais Autoridades Certificadoras — como DigiCert, Sectigo e GlobalSign — e os fabricantes de navegadores: Google, Apple, Mozilla e Microsoft.
Na prática, o que o CA/B Forum decide vira regra obrigatória. Se uma Autoridade Certificadora não cumprir, os navegadores removem a confiança nela — e todos os certificados emitidos por aquela CA passam a exibir alertas de segurança para os usuários. Ninguém quer isso.
Em abril de 2025, o fórum aprovou o Ballot SC-081v3, proposto pela Apple e apoiado unanimemente por Google, Mozilla e Microsoft. A votação foi expressiva: 25 votos a favor, zero contra. Esse ballot estabelece a redução gradual da validade máxima dos certificados públicos SSL/TLS ao longo dos próximos anos.
Cronograma oficial: de 398 dias para 47 dias
A mudança não acontece de uma vez. O CA/B Forum definiu um calendário gradual para dar tempo de adaptação:
| Data de vigência | Validade máxima | Reuso da validação de domínio | Renovações/ano |
|---|---|---|---|
| Até 14/03/2026 (atual) | 398 dias (~13 meses) | 398 dias | ~1x |
| 15/03/2026 | 200 dias (~6,5 meses) | 200 dias | ~2x |
| 15/03/2027 | 100 dias (~3,3 meses) | 100 dias | ~4x |
| 15/03/2029 | 47 dias (~1,5 mês) | 10 dias | ~8x |
Fonte: CA/B Forum — Ballot SC-081v3
Ponto importante: certificados emitidos antes de 15 de março de 2026 continuam válidos até a data de expiração original. A nova regra se aplica apenas a certificados emitidos a partir de cada data do cronograma. Se você renovou seu certificado em janeiro de 2026 com validade de 398 dias, ele será respeitado normalmente. Porém, na próxima renovação, o novo certificado já seguirá o limite de 200 dias.
O que muda nos certificados SSL pagos (OV e EV)?
Os certificados pagos — principalmente os de validação organizacional (OV) e validação estendida (EV) — são os mais impactados em termos operacionais. Até agora, a rotina era simples: comprar o certificado uma vez por ano e praticamente esquecer até a próxima renovação.
Esse modelo muda completamente. Com a validade caindo para 200 dias já em março de 2026, a frequência de renovação quase dobra. E quando chegar em 47 dias, em 2029, serão quase 8 renovações por ano para cada certificado.
As Autoridades Certificadoras já estão adaptando seus modelos comerciais. A tendência é que certificados pagos passem a ser vendidos como licenças anuais com renovação automática — o cliente paga uma assinatura e a CA cuida de emitir novos certificados dentro do período contratado. O custo pode não mudar drasticamente, mas o processo de renovação precisará ser automatizado obrigatoriamente.
Para quem gerencia múltiplos domínios e subdomínios, a complexidade operacional cresce bastante. Um certificado wildcard (*.seudominio.com.br) continuará funcionando, mas precisará ser renovado com muito mais frequência. Sem automação, manter tudo em dia se torna uma tarefa de tempo integral.
Let’s Encrypt: certificados ainda mais curtos (e gratuitos)
Se você usa certificados gratuitos do Let’s Encrypt, também será impactado — e de forma ainda mais agressiva que o mínimo exigido pelo CA/B Forum. O Let’s Encrypt anunciou seu próprio cronograma, que vai além do que a regulamentação exige:
| Data | O que muda | Quem é afetado |
|---|---|---|
| Janeiro de 2026 | Certificados de 6 dias (short-lived) disponíveis | Opt-in (perfil “shortlived”) |
| Maio de 2026 | Perfil “tlsserver” emite certificados de 45 dias | Opt-in |
| Fevereiro de 2027 | Perfil padrão (“classic”) reduz para 64 dias | Todos os usuários |
| Fevereiro de 2028 | Perfil padrão reduz para 45 dias | Todos os usuários |
Fontes: Let’s Encrypt — Decreasing Certificate Lifetimes to 45 Days | Let’s Encrypt — 6-day Certificates Generally Available
Os certificados de 6 dias são uma novidade interessante: com validade de apenas 160 horas, eles dispensam mecanismos tradicionais de revogação (CRL e OCSP), já que expiram naturalmente antes de qualquer janela de exploração relevante. São indicados para ambientes de alta automação, como containers e microsserviços.
A boa notícia: o Let’s Encrypt continuará sendo gratuito. A mudança é apenas na validade. Se você já utiliza renovação automática via Certbot ou acme.sh, provavelmente não precisará fazer grandes ajustes — basta confirmar que a automação está funcionando corretamente.
Por que os certificados SSL estão ficando cada vez mais curtos?
A decisão não é arbitrária. Existem razões técnicas sólidas por trás dessa mudança — e todas têm a ver com tornar a internet mais segura:
Menor tempo de exposição quando algo dá errado
Se a chave privada de um certificado for comprometida por invasão, vazamento ou falha, um certificado de 398 dias significa que um atacante pode explorar essa chave por mais de um ano. Com certificados de 47 dias, essa janela cai para menos de 7 semanas. A diferença na redução de risco é enorme.
Os sistemas de revogação atuais não funcionam bem
Os mecanismos de revogação de certificados (CRL e OCSP) são lentos, nem sempre verificados pelos navegadores e geram sobrecarga numa infraestrutura global com bilhões de certificados ativos. Certificados mais curtos reduzem a dependência desses mecanismos — eles simplesmente expiram antes que a revogação se torne necessária.
Automação deixa de ser opcional
Com renovações a cada 47 dias, processos manuais se tornam inviáveis para qualquer empresa com mais de um ou dois domínios. A indústria quer que o protocolo ACME (Automatic Certificate Management Environment, definido pela RFC 8555) seja o padrão universal. E com razão: automação elimina erro humano e garante que certificados nunca expirem por esquecimento.
Preparação para a era pós-quântica
A computação quântica avança rápido. Os algoritmos criptográficos atuais poderão se tornar vulneráveis no futuro. Certificados com vida curta e renovação automatizada facilitam a migração para novos padrões (como os algoritmos ML-KEM e ML-DSA do NIST) sem substituição manual em larga escala. É o conceito de “crypto agility” — trocar algoritmos rapidamente quando necessário.
O que acontece se você não se preparar?
Ignorar essas mudanças pode custar caro — literalmente. Veja os riscos reais:
Seu site fica inacessível. Um certificado expirado faz o Chrome exibir “Sua conexão não é particular”. A maioria dos usuários simplesmente fecha a aba. Para e-commerces e SaaS, isso significa perda direta de receita.
Você perde posições no Google. O HTTPS é fator de ranqueamento desde 2014. Um certificado expirado ou inválido pode derrubar seu posicionamento nos resultados de busca — e recuperar essas posições leva tempo.
Risco de multa e não-conformidade. A LGPD exige proteção de dados em trânsito. Sistemas de NFSe requerem HTTPS válido. O PCI-DSS exige TLS atualizado para quem processa pagamentos. Um certificado vencido não é só um problema técnico — é uma violação regulatória.
Sua equipe de TI fica sobrecarregada. Sem automação, gerenciar certificados em múltiplos servidores e domínios manualmente consome horas de trabalho que poderiam estar sendo investidas no que realmente importa para o negócio.
Como se preparar: automação é o único caminho viável
A solução para acompanhar essa nova realidade se resume a uma palavra: automação. O protocolo ACME permite que servidores solicitem, validem e instalem certificados automaticamente, sem intervenção humana. E ele já funciona há anos — o Let’s Encrypt é baseado nele desde o início.
Os principais clientes ACME que você pode usar:
- Certbot — o mais conhecido, escrito em Python. Funciona bem com cPanel, Plesk e a maioria dos painéis de controle.
- acme.sh — escrito em Shell puro, sem dependências externas. Ideal para servidores Linux onde se prefere instalação leve e flexível.
- DACS — com documentação em português, pensado para o mercado brasileiro.
A maioria dos painéis modernos (cPanel, Plesk, DirectAdmin) já possui integração nativa com ACME para Let’s Encrypt. Se seu painel está atualizado, a renovação automática pode já estar habilitada — vale confirmar.
Para certificados pagos, as CAs já oferecem endpoints ACME para automação de certificados OV e EV, embora a validação organizacional inicial continue sendo manual.
Checklist: 5 ações para se preparar agora
Independente de usar certificados gratuitos ou pagos, estas são ações práticas que você pode executar hoje:
- Faça um inventário dos seus certificados. Identifique todos os SSLs ativos, suas datas de expiração e se são gratuitos ou pagos. Saber o que você tem é o primeiro passo.
- Teste a renovação automática. Se já usa Let’s Encrypt, verifique se o cron ou timer do systemd está executando a renovação corretamente. Um simples
certbot renew --dry-runjá confirma se está tudo certo. - Converse com sua CA sobre certificados pagos. Entenda como será o novo modelo de licenciamento e se já existe suporte ACME disponível para seus certificados OV ou EV.
- Priorize sistemas críticos. APIs, portais de clientes, e-commerces e integrações que dependem de HTTPS devem receber atenção especial e automação primeiro.
- Implemente monitoramento. Configure alertas que avisem com antecedência quando certificados estiverem próximos do vencimento. Ferramentas como Zabbix, Prometheus ou scripts personalizados resolvem isso.
Conformidade no Brasil: LGPD, NFSe e PCI-DSS
Para empresas brasileiras, o HTTPS com certificado válido não é apenas boa prática — é exigência legal em diversos cenários:
- LGPD — A Lei Geral de Proteção de Dados exige criptografia de dados pessoais em trânsito. Sem HTTPS válido, sua empresa pode responder legalmente.
- NFSe e sistemas fiscais — APIs de emissão de notas fiscais eletrônicas exigem conexões HTTPS com certificados válidos.
- PCI-DSS — Empresas que processam pagamentos com cartão precisam manter TLS 1.2 ou superior, com certificados sempre válidos.
- BACEN Circular 3.909 — Instituições de pagamento devem garantir conexões criptografadas com padrões atualizados.
Um certificado vencido pode não apenas derrubar seu site — pode resultar em violação regulatória com consequências financeiras e jurídicas.
Novidade para quem usa wildcard: DNS-PERSIST-01
Quem trabalha com certificados wildcard sabe que a validação por DNS é uma das etapas mais chatas da automação — a cada renovação, o registro TXT precisa ser atualizado.
O Let’s Encrypt está desenvolvendo, em parceria com o CA/Browser Forum e a IETF, um novo método chamado DNS-PERSIST-01. A proposta é simples: você configura o registro DNS uma única vez e as renovações seguintes não exigem mais alterações. A previsão é que esteja disponível ainda em 2026, o que vai facilitar muito a automação de wildcards.
Precisa de ajuda com seus certificados? Conte com a Host One
Essas mudanças afetam todos que mantêm servidores e aplicações na internet. A automação resolve o problema técnico, mas configurá-la corretamente em cada ambiente — com diferentes painéis, servidores web e configurações de firewall — exige conhecimento e atenção aos detalhes.
Se você é cliente Host One ou está considerando nossa infraestrutura, saiba que nossa equipe técnica pode ajudar com a instalação, configuração e renovação de certificados SSL/TLS nos seus servidores. Seja um certificado gratuito via Let’s Encrypt ou um certificado pago OV/EV, estamos prontos para garantir que tudo funcione em conformidade com as novas regras.
Com mais de 22 anos de experiência em infraestrutura de servidores, suporte técnico especializado 24/7 e técnicos certificados Linux, a Host One acompanha de perto cada mudança no ecossistema de segurança digital. Não deixe seus certificados virarem um problema — fale com nossa equipe e resolva isso antes que a mudança entre em vigor.
Resumo rápido: o que você precisa lembrar
| Quando começa? | 15 de março de 2026 (certificados novos passam a ter máximo de 200 dias) |
| Quando chega a 47 dias? | 15 de março de 2029 |
| Let’s Encrypt muda também? | Sim — certificados de 45 dias (padrão até 2028) e opção de 6 dias já disponível |
| Meus certificados atuais vencem antes? | Não. Certificados já emitidos valem até a data de expiração original |
| Certificados internos são afetados? | Não. A regra se aplica apenas a certificados públicos |
| O que fazer agora? | Automatizar renovação via protocolo ACME — processos manuais serão inviáveis a partir de 2027 |
Fontes e referências
- CA/B Forum — Ballot SC-081v3: Schedule of Reducing Validity and Data Reuse Periods
- Let’s Encrypt — Decreasing Certificate Lifetimes to 45 Days
- Let’s Encrypt — 6-day and IP Address Certificates are Generally Available
- DigiCert — TLS Certificate Lifetimes Will Officially Reduce to 47 Days
- Crypto ID — A validade dos certificados SSL/TLS será reduzida para até 47 dias
- SecurityWeek — Internet Giants Agree to Reduce TLS Certificate Lifespan to 47 Days by 2029
- IETF RFC 8555 — Automatic Certificate Management Environment (ACME)
