Let’s Encrypt, a maior autoridade certificadora do mundo para HTTPS, anunciou que, até 2028, reduzirá pela metade a validade de seus certificados, que atualmente é de 90 dias. A nova validade máxima será de apenas 45 dias, uma medida que se alinha com uma diretriz estabelecida pelo CA/Browser Forum, entidade que regula as regras entre navegadores e autoridades certificadoras. Essa mudança, proposta inicialmente pela Apple, visa aumentar a segurança e a eficiência na gestão dos certificados digitais.
A mudança não ocorrerá de uma só vez, mas em três fases. A primeira fase começará em maio de 2026, quando o perfil de teste ACME emitirá certificados com validade de 45 dias. Após isso, em fevereiro de 2027, o perfil clássico começará a emitir certificados com validade reduzida para 64 dias. Finalmente, em fevereiro de 2028, o limite definido de 45 dias será implementado em todos os certificados padrão.
Além da redução na validade dos certificados, a Let’s Encrypt também diminuirá drasticamente o período em que as autorizações de controle de domínio poderão ser reutilizadas, passando de 30 dias para apenas 7 horas. Isso significa que, se um cliente não conseguir emitir o certificado dentro desse tempo, será necessário revalidar o domínio.
Essas mudanças visam minimizar riscos associados à segurança digital, como o comprometimento de chaves privadas e a dependência de mecanismos de revogação que nem sempre são confiáveis. A redução na validade dos certificados permite uma rotação de chaves mais frequente, o que é fundamental em ambientes modernos de nuvem e microserviços.
A Let’s Encrypt também está incentivando o uso da ACME Renewal Information (ARI), que permite que a autoridade certificadora informe aos clientes o momento exato para a renovação dos certificados, evitando assim a automática renovação em intervalos fixos que podem não ser mais adequados.
A implementação dessas mudanças representa um passo significativo na evolução das práticas de segurança na web, e a empresa afirma que a transição para um sistema de certificação de vida curta exigirá automação total na emissão e renovação de certificados. Dessa forma, mesmo com o aumento da complexidade operativa, a segurança geral da web deverá ser aprimorada.
