A partir desse ano (2026) a validade dos certificados SSL/TLS vai começar a diminuir, e até 2029 a validade dos certificados vai ser de 47 dias. É importante que você saiba sobre isso, pois o certificado SSL/TLS é vital para qualquer um que tenha um site. Por isso, nesse post nós da Hosting Machine vamos te falar mais sobre esse assunto!
A validade de certificados SSL/TLS estão ficando menores?!
O que é certificado SSL/TLS?
Em suma, o certificado SSL/TLS é uma maneira de atestar à identidade de um site, também fornecendo uma conexão criptografada. Ele é um protocolo de segurança que cria um link criptografado entre um servidor e um mecanismo de pesquisa. Sendo assim, a falta desse certificado acarreta no site ser considerado perigoso pelos navegadores.
Quem decidiu encurtar a validade dos certificados SSL?
A decisão de reduzir gradualmente a validade máxima dos certificados SSL/TLS públicos partiu do CA/Browser Forum, o principal órgão internacional responsável por definir as regras técnicas que todas as Autoridades Certificadoras e navegadores devem seguir. Esse fórum reúne as grandes CAs e os principais fabricantes de navegadores.
Em abril de 2025, o fórum aprovou, por unanimidade, o Ballot SC-081v3, que foi proposto inicialmente pela Apple e apoiado pelo Google, Mozilla e Microsoft. O ballot estabeleceu um cronograma obrigatório de redução da validade dos certificados públicos, começando em março de 2026 e terminando em 47 dias em 2029. Qualquer CA que não cumpra essas regras corre o risco de ter sua confiança removida dos navegadores. Desse modo, tornando todos os seus certificados inválidos automaticamente.
No entanto, isso não é tão de repente. Já que o CA/B Forum já havia reduzido a validade de 825 para 398 dias em 2020. A mudança atual reflete o consenso da indústria de que certificados mais curtos aumentam significativamente a segurança da web como um todo.
O que muda nos certificados?
Pagos
Os certificados pagos vão sofrer um impacto operacional maior. Isto é porque, até agora, a validade de até 398 dias permitia uma renovação anual praticamente “esquecível”. No entanto, a partir de 15 de março de 2026, a validade máxima caiu para 200 dias, dobrando a frequência das renovações. Em 2027 passará para 100 dias e, em 2029, chegará a 47 dias, o que seria cerca de 8 renovações por ano.
Por isso, muitas CAs comerciais já estão se adaptando, oferecendo modelos de assinatura anual com renovação automática via ACME ou API própria. Embora o custo final tenda a permanecer semelhante, o processo exige uma automação total. Além disso, mesmo que os certificados wildcard e multi-domínio continuem existindo, eles demandarão monitoramento constante.
Gratuitos
Os certificados gratuitos do Let’s Encrypt vão continuar 100% gratuitos, mas o projeto está sendo ainda mais agressivo que o CA/B Forum. Já que desde janeiro de 2026, certificados de 6 dias ficam disponíveis por opt-in, enquanto em maio desse ano (2026) o tlsserver vai passar a emitir certificados de 45 dias. Além disso, o perfil clássico, que é usado pela maioria das pessoas, vai cair para 64 dias em fevereiro de 2027 e para 45 dias em fevereiro de 2028.
Ou seja, os usuários do Let’s Encrypt precisarão de uma automação ainda mais robusta. Embora ainda esteja em transição, algumas ferramentas como Certbot, acme.sh e integrações nativas de painéis de hospedagem, como cPanel, já suportam esses novos perfis.
Por que isso está acontecendo?
Menor tempo de exposição quando algo dá errado
Quando uma chave privada de certificado é comprometida, seja por invasão, malware ou vazamento interno, o atacante ganha uma determinada janela de tempo para explorá-la. Com um certificado de 398 dias, você permite que o atacante explore por mais de um ano, mas com a redução para 47 dias em 2029, essa janela vai cair para menos de 7 semanas. Assim, diminuindo significativamente o risco de ataques man-in-the-middle, roubo de dados ou uso de certificados roubados em phishing. Ou seja, a indústria entende que quanto menor é o tempo de vida útil menor é o dano potencial de qualquer incidente de segurança.
Os sistemas de revogação atuais não funcionam bem
Os mecanismos tradicionais de revogação, CRL e OCSP, são lentos, nem sempre são respeitados pelos navegadores e geram uma grande carga na infraestrutura global. Muitos navegadores ignoram ou cacheiam as respostas de revogação, deixando certificados comprometidos ativos por tempo demais. No entanto, com os certificados curtos esse problema seria resolvido pela raiz. Já que eles expiram antes que a revogação seja necessária, assim eliminando a dependência de sistemas que já falharam antes.
Automação deixa de ser opcional
A renovação manual de um certificado a cada 47 dias vai ser inviável para qualquer pessoa ou empresa com mais de alguns domínios. Essa mudança força a adoção em massa do protocolo ACME (RFC 8555), que permite renovação automática, segura e sem intervenção humana. Assim, diminuindo os erros mais comuns e os custos operacionais a longo prazo. Dessa forma, a automação passa de “boa prática” para uma exigência técnica obrigatória.
O que vai acontecer se você não se preparar?
Primeiramente, seu site simplesmente será considerado como “Não Seguro” nos navegadores a cada expiração. Por ter validade menor, um certificado esquecido poderá gerar um downtime visível para todos os visitantes, que vão ver avisos em vermelhos sobre um site não seguro e potencialmente perigoso. Assim, acarretando na perda imediata de tráfego, conversões e receita, principalmente em e-commerces, SaaS e portais corporativos. Além disso, alguns navegadores, como o Google por exemplo, penalizam sites sem HTTPS válido, prejudicando o ranqueamento orgânico de tal site permanentemente.
Além desse impacto técnico, também há as consequências regulatórias e jurídicas. Aqui no Brasil, a LGPD exige proteção adequada de dados em trânsito, a BACEN Circular 3.909 e normas de NFSe exigem HTTPS funcional, e o PCI-DSS pode gerar multas pesadas por não conformidade com as regras. Além disso, empresas certificadas ISO 27001 ou SOC 2 correm risco de uma auditoria negativa e as equipes de TI estarão sobrecarregadas com renovações manuais frequentes, aumentam o custo operacional, o risco de burnout ou erros humanos.
Como se preparar?
- Faça um inventário completo — Liste todos seus certificados públicos (domínios, subdomínios, wildcards, IPs), anote a AC emissora, data de expiração e o método de validação. Você pode fazer isso usando ferramentas como Qualys SSL Labs ou scripts OpenSSL.
- Implemente automação total via ACME — Para Let’s Encrypt, você pode usar o Certbot, acme.sh ou as integrações nativas do cPanel, Plesk e DirectAdmin. Já para os certificados pagos, você precisa pedir suporte ACME da sua AC.
- Configure monitoramento e alertas proativos — Use Zabbix, Prometheus, UptimeRobot ou soluções CLM para ativar avisos com 30, 15 e 7 dias de antecedência antes do vencimento do certificado. No entanto, é importante que você sempre teste em ambiente de staging primeiro.
- Aproveite perfis short-lived e novas funcionalidades — No Let’s Encrypt, você pode testar os certificados de 6 dias e o futuro DNS-PERSIST-01 (renovação sem alterar DNS toda vez). Já para ambientes Kubernetes, você pode adotar o cert-manager.
Esse foi o nosso post sobre a diminuição da validade de certificados SSL/TLS. Esperamos que você tenha gostado desse post e que ele tenha sido útil para você. No entanto, caso você tenha alguma dúvida você pode entrar em contato com o nosso suporte, seja por chamado ou por WhatsApp.
Além disso, se você é da cliente Hosting Machine ou está considerando contratar os nossos serviços, saiba que nossa equipe técnica pode te ajudar com a instalação, configuração e renovação dos certificados SSL/TLS. Desde um certificado gratuito da Let’s Encrypt até um certificado pago, nós estamos prontos para garantir que tudo funcione de acordo com as novas regras. Não deixe os seus certificados virarem um problema, entre em contato conosco e resolva isso antes da mudança entrar em vigor!
