Todos os guias iniciais Primeiros passos

Como renovar um certificado Let's Encrypt

Os certificados Let’s Encrypt sao validos por 90 dias. Você deve renovar antes do dia 60 para ter uma margem de segurança. Veja como renovar com GetHTTPS (manual) e Certbot (automatico).

Método 1: Renovar com GetHTTPS (manual)

Repita os mesmos passos que você usou para obter o certificado original:

  1. Va para gethttps.com/app/setup
  2. Digite o(s) mesmo(s) domínio(s)
  3. Complete um desafio HTTP-01 ou DNS-01 (igual antes)
  4. Baixe os novos arquivos do certificado
  5. Substitua os arquivos antigos no seu servidor:
    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
    sudo systemctl reload nginx  # ou apache2/httpd

Tempo: 2-3 minutos depois que você já fez uma vez.

Quando usar: Você não tem acesso ao servidor para instalar o Certbot, gerencia um número pequeno de domínios ou prefere não instalar software.

Método 2: Renovação automatica com Certbot

Se o Certbot esta instalado no seu servidor, as renovações acontecem automaticamente:

# Verificar se a renovação automatica esta configurada
sudo systemctl list-timers | grep certbot

# Teste dry-run manual
sudo certbot renew --dry-run

# Forcar renovação agora
sudo certbot renew

O timer do systemd do Certbot (ou cron job) executa duas vezes ao dia e renova certificados dentro de 30 dias da expiração.

Quando usar: Você tem acesso root ao servidor e quer renovações sem intervencao.

Como verificar quando seu certificado expira

# Verificar a partir do servidor
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem

# Verificar remotamente
echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -enddate

Exemplo de saida: notAfter=Aug 5 12:00:00 2026 GMT

Definir um lembrete

  • Dia 0: Certificado emitido (válido por 90 dias)
  • Dia 60: Renovar (recomendado — margem de segurança de 30 dias)
  • Dia 90: Certificado expira — site mostra aviso de segurança

Defina um lembrete no calendario para o dia 60. Se você gerencia múltiplos domínios, use um serviço de monitoramento para alertar sobre expiracoes proximas.

Passo a passo: renovação com GetHTTPS

Aqui esta o processo exato para renovação manual:

  1. Verificar expiração atual (opcional, mas boa prática):

    echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -enddate
  2. Va para gethttps.com/app/setup

  3. Digite o(s) mesmo(s) domínio(s) do certificado original

  4. Complete o desafio — igual a primeira vez:

    • HTTP-01: coloque o novo arquivo de token no seu servidor
    • DNS-01: atualize o registro TXT _acme-challenge com o novo valor
  5. Baixe os novos arquivos do certificado

  6. Substitua no seu servidor:

    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
  7. Recarregue o servidor web (não reinicie — reload aplica novos arquivos sem derrubar conexões):

    sudo systemctl reload nginx    # Nginx
    sudo systemctl reload apache2  # Apache/Debian
    sudo systemctl reload httpd    # Apache/CentOS
  8. Verifique se o novo certificado esta ativo:

    echo | openssl s_client -connect seudominio.com:443 -servername seudominio.com 2>/dev/null | openssl x509 -noout -dates

Tempo total: 2-3 minutos depois que você já fez uma vez.

Comparacao de renovação: manual vs automatica

GetHTTPS (manual)Certbot (automatico)
Esforco por renovação2-3 minutosZero (cron job)
Acesso ao servidor necessárioApenas para substituicao de arquivosAcesso completo (root)
Deteccao de falhasVocê percebe quando o site quebraLogs do Certbot + pode enviar e-mail em caso de falha
Melhor para1-5 domínios, sem acesso rootServidores de producao, muitos domínios
Risco de esquecerMedio (defina lembretes!)Baixo (automatizado)

Para servidores de producao com acesso root, configure o Certbot para renovação automatica. Para ambientes sem acesso root, a renovação manual do GetHTTPS e a unica opcao.

O futuro de 47 dias

O CA/Browser Forum votou para reduzir a validade maxima dos certificados:

Data efetivaValidade maxima
Atual90 dias (Let’s Encrypt)
Marco 2026200 dias
Marco 2027100 dias
Marco 202947 dias

Até 2029, você precisara renovar aproximadamente a cada 30-35 dias. Isso torna a renovação automatica (Certbot) cada vez mais importante. Para fluxos de trabalho manuais (GetHTTPS), considere configurar lembretes mais frequentes.

Perguntas frequentes

Posso renovar antes do certificado expirar?

Sim. O Let’s Encrypt permite renovação a qualquer momento. O novo certificado comeca do zero com um novo período de validade de 90 dias. Renovar antecipadamente não desperdicar nenhum tempo restante — simplesmente substitui o certificado antigo.

Preciso refazer o desafio toda vez?

Sim. Cada renovação requer um novo desafio de válidação de domínio. Isso é um recurso de segurança — confirma que você ainda controla o domínio.

A renovação causara tempo de inatividade?

Não, se feita corretamente. Faça upload dos novos arquivos e recarregue (não reinicie) o servidor web. nginx -s reload e apachectl graceful aplicam novos certificados a novas conexões sem derrubar as existentes.

Posso usar GetHTTPS para o primeiro cert e Certbot para renovações?

Sim. Os arquivos de certificado sao formato PEM padrão. Você pode gerar o primeiro certificado com GetHTTPS, depois instalar o Certbot para renovação automatica continua. Eles não entram em conflito. Comparacao detalhada →

E se eu perdi o prazo de renovação e meu cert expirou?

Seu site mostra um aviso de segurança no navegador, mas a correcao e simples: va ao GetHTTPS, obtenha um novo certificado, substitua os arquivos, recarregue o servidor. Leva 5 minutos. Não ha penalidade do Let’s Encrypt por deixar um certificado expirar — apenas obtenha um novo.

Preciso usar o mesmo par de chaves ao renovar?

Não. O GetHTTPS gera um novo par de chaves a cada vez, o que na verdade é uma melhor prática de segurança (rotacao de chaves). O servidor não se importa se o novo certificado usa uma chave diferente — apenas substitua tanto fullchain.pem quanto privkey.pem juntos.

Como renovo um certificado wildcard?

Mesmo processo da emissão inicial: visite o GetHTTPS, digite *.example.com, adicione o novo registro TXT _acme-challenge no DNS, verifique, baixe. Você precisa de acesso DNS a cada vez porque certificados wildcard requerem DNS-01.

Artigos relacionados

Primeiros passos 2026-05-08
Como obter um certificado SSL gratuito (guia passo a passo)
Obtenha um certificado SSL gratuito do Let's Encrypt em 5 minutos — sem software para instalar, sem conta para criar. Guia completo cobrindo 4 métodos, ambos os tipos de desafio, instalação em 6 plataformas e solução de problemas.
Comparacao 2026-05-08
GetHTTPS vs Certbot: Qual Ferramenta SSL Você Deve Usar?
Uma comparação detalhada entre GetHTTPS e Certbot para obter certificados SSL grátis do Let's Encrypt. Compare instalação, fluxo de trabalho, privacidade, automação, renovação e casos de uso.
Implantacao 2026-05-08
Como Instalar um Certificado SSL no Nginx
Guia passo a passo para instalar um certificado SSL no Nginx. Abrange upload de arquivos, configuração completa do bloco server, boas práticas de TLS, HTTP/2, HSTS, configuração de redirecionamento, testes e solução de 6 erros comuns.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado