Todos os artigos sobre SSL SSL e certificados

Validade do Certificado SSL: A Mudança para 47 Dias Explicada

O CA/Browser Forum (o orgao da industria que define os padrões de certificados SSL) votou em abril de 2025 para reduzir progressivamente a validade maxima dos certificados de 398 dias para 47 dias até marco de 2029. Isso afeta todas as Autoridades Certificadoras — pagas e gratuitas.

O cronograma

Data efetivaValidade maximaReutilizacao maxima de DCVImpacto
Antes de marco de 2026398 dias (13 meses)398 diasEstado atual
15 de marco de 2026200 dias200 diasCAs pagas devem emitir certs mais curtos
15 de marco de 2027100 dias100 diasAproximando-se do modelo de 90 dias do Let’s Encrypt
15 de marco de 202947 dias10 diasTodos os certs precisam de renovação frequente

Reutilizacao de DCV = por quanto tempo um resultado de válidação de domínio pode ser reutilizado. Até 2029, o controle do domínio deve ser reverificado a cada 10 dias, mesmo que o certificado seja válido por 47.

Por que isso esta acontecendo

Certificados de curta duracao sao mais seguros:

  • Janela de exposicao reduzida — se uma chave for comprometida, o dano e limitado ao período de validade restante
  • Revogação mais rápida — mecanismos de revogação (CRL, OCSP) não sao confiaveis; validade curta os torna menos criticos
  • Automacao forcada — renovação manual não escala em 47 dias, empurrando a industria para gerenciamento automatizado de certificados
  • Válidação fresca — válidação frequente de controle de domínio detecta DNS obsoleto, domínios vendidos ou mudança de proprietario mais rápido

A Apple propos essa mudança, e todos os quatro principais fornecedores de navegadores (Apple, Google, Mozilla, Microsoft) votaram a favor.

O que isso significa para você

Se você usa Let’s Encrypt (certs de 90 dias)

Pouco muda imediatamente. Você já renova a cada 60-90 dias. Até 2029, sua cadencia de renovação vai se apertar de a cada 60 dias para a cada ~30 dias.

Acao necessária: Garanta que você tenha automacao de renovação confiavel (cron do Certbot, cron do acme.sh) ou um processo manual confiavel (GetHTTPS com lembretes de calendario).

Se você usa certificados pagos (certs de 1 ano)

Essa é uma mudança maior. Até marco de 2026, sua validade maxima cai para 200 dias. Até 2029, cai para 47 dias — identico ao modelo do Let’s Encrypt.

Acao necessária: Comece a planejar para automacao. A vantagem de custo dos certificados pagos (maior validade = menos renovações) esta desaparecendo. Muitas organizações vao mudar para certificados gratuitos do Let’s Encrypt com renovação automatizada.

Se você gerencia muitos certificados

Validade de 47 dias em centenas de domínios significa milhares de renovações por ano. Gerenciamento manual se torna impossivel.

Acao necessária: Implemente automacao baseada em ACME (Certbot, acme.sh ou uma plataforma de gerenciamento de certificados).

O fim do “configure e esqueca”

O maior impacto prático: você não pode mais comprar um certificado de 1 ano e esquece-lo. Até 2029, todo site precisa de um pipeline de renovação automatizado ou alguem renovando manualmente todo mes.

Isso nivela o campo entre CAs gratuitas e pagas — quando todos renovam a cada 47 dias, a vantagem de longa validade dos certificados pagos desaparece inteiramente.

Mudanças na reutilizacao de DCV (frequentemente negligenciadas)

O mesmo ballot do CA/B Forum também reduz os periodos de reutilizacao de Domain Control Validation (DCV):

DataReutilizacao maxima de DCV
Atual398 dias
Marco de 2026200 dias
Marco de 2027100 dias
Marco de 202910 dias

Reutilizacao de DCV = por quanto tempo uma CA pode reutilizar um resultado anterior de válidação de domínio. Até 2029, a CA deve reverificar seu controle de domínio a cada 10 dias — mesmo que o certificado seja válido por 47 dias. Isso significa que a válidação não pode ser um evento único; deve ser totalmente automatizada.

Para clientes ACME (GetHTTPS, Certbot, acme.sh), isso e transparente — cada renovação inclui um desafio novo. Para fluxos de trabalho manuais com CAs comerciais, isso adiciona sobrecarga operacional significativa.

Como se preparar agora

Se você já usa Let’s Encrypt + Certbot/acme.sh

Você já esta em certificados de 90 dias com renovação automatizada. Nenhuma acao necessária. Quando a validade cair para 47 dias, seu cron job cuida disso — ele já verifica duas vezes ao dia.

Se você usa GetHTTPS (renovação manual)

Atualmente você renova a cada ~60 dias. Com certs de 47 dias, isso se torna a cada ~30 dias. Opções:

  1. Continuar manual — defina lembretes para cada 30 dias. Viavel para 1-3 domínios.
  2. Abordagem hibrida — use GetHTTPS para o primeiro cert, depois instale Certbot para auto-renovação.
  3. Esperar para ver — o limite de 47 dias e em marco de 2029. Você tem tempo.

Se você usa certificados pagos de 1 ano

Comece a planejar agora:

  1. Avalie o Let’s Encrypt — até 2029, certs pagos e gratuitos terao a mesma frequencia de renovação. O premium vale a pena?
  2. Implemente automacao ACME — mesmo CAs comerciais suportam ACME (DigiCert, Sectigo)
  3. Orcamento para ferramentas de automacao — plataformas de gerenciamento de ciclo de vida de certificados se você gerencia 100+ certs

Quem votou a favor?

O ballot (SC-081) foi apoiado por todos os quatro principais fornecedores de navegadores:

  • Apple — propos a mudança
  • Google — votou a favor
  • Mozilla — votou a favor
  • Microsoft — votou a favor

A oposicao das CAs foi mista, mas fornecedores de navegadores tem poder de veto. A mudança esta acontecendo.

Perguntas frequentes

O Let’s Encrypt vai mudar sua validade de 90 dias?

O Let’s Encrypt pode reduzir para 47 dias quando as novas regras entrarem em vigor, ou manter 90 dias se isso ainda estiver dentro do maximo. De qualquer forma, o processo de renovação não muda — e a maioria dos usuarios já renova no dia 60.

Isso afeta certificados existentes?

Não. Certificados já emitidos permanecem validos até sua data de expiração declarada. As novas regras se aplicam a certificados emitidos após as datas efetivas.

Devo mudar para Let’s Encrypt agora?

Se você esta pagando por certificados de 1 ano, a relação custo/beneficio esta mudando rápido. O modelo de 90 dias do Let’s Encrypt já esta mais proximo do futuro de 47 dias, e o ecossistema (Certbot, acme.sh, GetHTTPS) e maduro. Mudar agora significa que você esta pronto quando a mudança chegar.

Isso vai quebrar dispositivos ou navegadores antigos?

Não. A mudança e sobre validade maxima, não o formato do certificado ou versão do TLS. Dispositivos antigos que funcionam com certificados atuais funcionarao com os de menor duracao. O dispositivo não sabe nem se importa com quanto tempo o certificado é válido — ele apenas verifica a data de expiração.

E quanto a certificados internos/privados?

Essa mudança se aplica apenas a certificados publicamente confiaveis (aqueles nos trust stores dos navegadores). CAs internas emitindo certificados para redes corporativas não sao regidas pelas regras do CA/B Forum.

Artigos relacionados

Primeiros passos 2026-05-07
Como renovar um certificado Let's Encrypt
Os certificados Let's Encrypt expiram a cada 90 dias. Aprenda como renovar com GetHTTPS (manual) ou Certbot (automatico), e prepare-se para a validade de 47 dias.
Comparacao 2026-05-08
GetHTTPS vs Certbot: Qual Ferramenta SSL Você Deve Usar?
Uma comparação detalhada entre GetHTTPS e Certbot para obter certificados SSL grátis do Let's Encrypt. Compare instalação, fluxo de trabalho, privacidade, automação, renovação e casos de uso.
SSL e certificados 2026-05-07
Tipos de Certificados SSL Explicados: DV, OV e EV
Compare certificados SSL de Válidação de Domínio (DV), Válidação de Organização (OV) e Válidação Estendida (EV). Aprenda as diferencas em verificação, custo e quando você realmente precisa de cada tipo.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado