Os certificados Let’s Encrypt sao validos por 90 dias. Você deve renovar antes do dia 60 para ter uma margem de segurança. Veja como renovar com GetHTTPS (manual) e Certbot (automatico).
Método 1: Renovar com GetHTTPS (manual)
Repita os mesmos passos que você usou para obter o certificado original:
- Va para gethttps.com/app/setup
- Digite o(s) mesmo(s) domínio(s)
- Complete um desafio HTTP-01 ou DNS-01 (igual antes)
- Baixe os novos arquivos do certificado
- Substitua os arquivos antigos no seu servidor:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem sudo systemctl reload nginx # ou apache2/httpd
Tempo: 2-3 minutos depois que você já fez uma vez.
Quando usar: Você não tem acesso ao servidor para instalar o Certbot, gerencia um número pequeno de domínios ou prefere não instalar software.
Método 2: Renovação automatica com Certbot
Se o Certbot esta instalado no seu servidor, as renovações acontecem automaticamente:
# Verificar se a renovação automatica esta configurada
sudo systemctl list-timers | grep certbot
# Teste dry-run manual
sudo certbot renew --dry-run
# Forcar renovação agora
sudo certbot renew
O timer do systemd do Certbot (ou cron job) executa duas vezes ao dia e renova certificados dentro de 30 dias da expiração.
Quando usar: Você tem acesso root ao servidor e quer renovações sem intervencao.
Como verificar quando seu certificado expira
# Verificar a partir do servidor
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem
# Verificar remotamente
echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -enddate
Exemplo de saida: notAfter=Aug 5 12:00:00 2026 GMT
Definir um lembrete
- Dia 0: Certificado emitido (válido por 90 dias)
- Dia 60: Renovar (recomendado — margem de segurança de 30 dias)
- Dia 90: Certificado expira — site mostra aviso de segurança
Defina um lembrete no calendario para o dia 60. Se você gerencia múltiplos domínios, use um serviço de monitoramento para alertar sobre expiracoes proximas.
Passo a passo: renovação com GetHTTPS
Aqui esta o processo exato para renovação manual:
-
Verificar expiração atual (opcional, mas boa prática):
echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -enddate -
Va para gethttps.com/app/setup
-
Digite o(s) mesmo(s) domínio(s) do certificado original
-
Complete o desafio — igual a primeira vez:
- HTTP-01: coloque o novo arquivo de token no seu servidor
- DNS-01: atualize o registro TXT
_acme-challengecom o novo valor
-
Baixe os novos arquivos do certificado
-
Substitua no seu servidor:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem -
Recarregue o servidor web (não reinicie — reload aplica novos arquivos sem derrubar conexões):
sudo systemctl reload nginx # Nginx sudo systemctl reload apache2 # Apache/Debian sudo systemctl reload httpd # Apache/CentOS -
Verifique se o novo certificado esta ativo:
echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -dates
Tempo total: 2-3 minutos depois que você já fez uma vez.
Comparacao de renovação: manual vs automatica
| GetHTTPS (manual) | Certbot (automatico) | |
|---|---|---|
| Esforco por renovação | 2-3 minutos | Zero (cron job) |
| Acesso ao servidor necessário | Apenas para substituicao de arquivos | Acesso completo (root) |
| Deteccao de falhas | Você percebe quando o site quebra | Logs do Certbot + pode enviar e-mail em caso de falha |
| Melhor para | 1-5 domínios, sem acesso root | Servidores de producao, muitos domínios |
| Risco de esquecer | Medio (defina lembretes!) | Baixo (automatizado) |
Para servidores de producao com acesso root, configure o Certbot para renovação automatica. Para ambientes sem acesso root, a renovação manual do GetHTTPS e a unica opcao.
O futuro de 47 dias
O CA/Browser Forum votou para reduzir a validade maxima dos certificados:
| Data efetiva | Validade maxima |
|---|---|
| Atual | 90 dias (Let’s Encrypt) |
| Marco 2026 | 200 dias |
| Marco 2027 | 100 dias |
| Marco 2029 | 47 dias |
Até 2029, você precisara renovar aproximadamente a cada 30-35 dias. Isso torna a renovação automatica (Certbot) cada vez mais importante. Para fluxos de trabalho manuais (GetHTTPS), considere configurar lembretes mais frequentes.
Perguntas frequentes
Posso renovar antes do certificado expirar?
Sim. O Let’s Encrypt permite renovação a qualquer momento. O novo certificado comeca do zero com um novo período de validade de 90 dias. Renovar antecipadamente não desperdicar nenhum tempo restante — simplesmente substitui o certificado antigo.
Preciso refazer o desafio toda vez?
Sim. Cada renovação requer um novo desafio de válidação de domínio. Isso é um recurso de segurança — confirma que você ainda controla o domínio.
A renovação causara tempo de inatividade?
Não, se feita corretamente. Faça upload dos novos arquivos e recarregue (não reinicie) o servidor web. nginx -s reload e apachectl graceful aplicam novos certificados a novas conexões sem derrubar as existentes.
Posso usar GetHTTPS para o primeiro cert e Certbot para renovações?
Sim. Os arquivos de certificado sao formato PEM padrão. Você pode gerar o primeiro certificado com GetHTTPS, depois instalar o Certbot para renovação automatica continua. Eles não entram em conflito. Comparacao detalhada →
E se eu perdi o prazo de renovação e meu cert expirou?
Seu site mostra um aviso de segurança no navegador, mas a correcao e simples: va ao GetHTTPS, obtenha um novo certificado, substitua os arquivos, recarregue o servidor. Leva 5 minutos. Não ha penalidade do Let’s Encrypt por deixar um certificado expirar — apenas obtenha um novo.
Preciso usar o mesmo par de chaves ao renovar?
Não. O GetHTTPS gera um novo par de chaves a cada vez, o que na verdade é uma melhor prática de segurança (rotacao de chaves). O servidor não se importa se o novo certificado usa uma chave diferente — apenas substitua tanto fullchain.pem quanto privkey.pem juntos.
Como renovo um certificado wildcard?
Mesmo processo da emissão inicial: visite o GetHTTPS, digite *.example.com, adicione o novo registro TXT _acme-challenge no DNS, verifique, baixe. Você precisa de acesso DNS a cada vez porque certificados wildcard requerem DNS-01.