O CA/Browser Forum (o orgao da industria que define os padrões de certificados SSL) votou em abril de 2025 para reduzir progressivamente a validade maxima dos certificados de 398 dias para 47 dias até marco de 2029. Isso afeta todas as Autoridades Certificadoras — pagas e gratuitas.
O cronograma
| Data efetiva | Validade maxima | Reutilizacao maxima de DCV | Impacto |
|---|---|---|---|
| Antes de marco de 2026 | 398 dias (13 meses) | 398 dias | Estado atual |
| 15 de marco de 2026 | 200 dias | 200 dias | CAs pagas devem emitir certs mais curtos |
| 15 de marco de 2027 | 100 dias | 100 dias | Aproximando-se do modelo de 90 dias do Let’s Encrypt |
| 15 de marco de 2029 | 47 dias | 10 dias | Todos os certs precisam de renovação frequente |
Reutilizacao de DCV = por quanto tempo um resultado de válidação de domínio pode ser reutilizado. Até 2029, o controle do domínio deve ser reverificado a cada 10 dias, mesmo que o certificado seja válido por 47.
Por que isso esta acontecendo
Certificados de curta duracao sao mais seguros:
- Janela de exposicao reduzida — se uma chave for comprometida, o dano e limitado ao período de validade restante
- Revogação mais rápida — mecanismos de revogação (CRL, OCSP) não sao confiaveis; validade curta os torna menos criticos
- Automacao forcada — renovação manual não escala em 47 dias, empurrando a industria para gerenciamento automatizado de certificados
- Válidação fresca — válidação frequente de controle de domínio detecta DNS obsoleto, domínios vendidos ou mudança de proprietario mais rápido
A Apple propos essa mudança, e todos os quatro principais fornecedores de navegadores (Apple, Google, Mozilla, Microsoft) votaram a favor.
O que isso significa para você
Se você usa Let’s Encrypt (certs de 90 dias)
Pouco muda imediatamente. Você já renova a cada 60-90 dias. Até 2029, sua cadencia de renovação vai se apertar de a cada 60 dias para a cada ~30 dias.
Acao necessária: Garanta que você tenha automacao de renovação confiavel (cron do Certbot, cron do acme.sh) ou um processo manual confiavel (GetHTTPS com lembretes de calendario).
Se você usa certificados pagos (certs de 1 ano)
Essa é uma mudança maior. Até marco de 2026, sua validade maxima cai para 200 dias. Até 2029, cai para 47 dias — identico ao modelo do Let’s Encrypt.
Acao necessária: Comece a planejar para automacao. A vantagem de custo dos certificados pagos (maior validade = menos renovações) esta desaparecendo. Muitas organizações vao mudar para certificados gratuitos do Let’s Encrypt com renovação automatizada.
Se você gerencia muitos certificados
Validade de 47 dias em centenas de domínios significa milhares de renovações por ano. Gerenciamento manual se torna impossivel.
Acao necessária: Implemente automacao baseada em ACME (Certbot, acme.sh ou uma plataforma de gerenciamento de certificados).
O fim do “configure e esqueca”
O maior impacto prático: você não pode mais comprar um certificado de 1 ano e esquece-lo. Até 2029, todo site precisa de um pipeline de renovação automatizado ou alguem renovando manualmente todo mes.
Isso nivela o campo entre CAs gratuitas e pagas — quando todos renovam a cada 47 dias, a vantagem de longa validade dos certificados pagos desaparece inteiramente.
Mudanças na reutilizacao de DCV (frequentemente negligenciadas)
O mesmo ballot do CA/B Forum também reduz os periodos de reutilizacao de Domain Control Validation (DCV):
| Data | Reutilizacao maxima de DCV |
|---|---|
| Atual | 398 dias |
| Marco de 2026 | 200 dias |
| Marco de 2027 | 100 dias |
| Marco de 2029 | 10 dias |
Reutilizacao de DCV = por quanto tempo uma CA pode reutilizar um resultado anterior de válidação de domínio. Até 2029, a CA deve reverificar seu controle de domínio a cada 10 dias — mesmo que o certificado seja válido por 47 dias. Isso significa que a válidação não pode ser um evento único; deve ser totalmente automatizada.
Para clientes ACME (GetHTTPS, Certbot, acme.sh), isso e transparente — cada renovação inclui um desafio novo. Para fluxos de trabalho manuais com CAs comerciais, isso adiciona sobrecarga operacional significativa.
Como se preparar agora
Se você já usa Let’s Encrypt + Certbot/acme.sh
Você já esta em certificados de 90 dias com renovação automatizada. Nenhuma acao necessária. Quando a validade cair para 47 dias, seu cron job cuida disso — ele já verifica duas vezes ao dia.
Se você usa GetHTTPS (renovação manual)
Atualmente você renova a cada ~60 dias. Com certs de 47 dias, isso se torna a cada ~30 dias. Opções:
- Continuar manual — defina lembretes para cada 30 dias. Viavel para 1-3 domínios.
- Abordagem hibrida — use GetHTTPS para o primeiro cert, depois instale Certbot para auto-renovação.
- Esperar para ver — o limite de 47 dias e em marco de 2029. Você tem tempo.
Se você usa certificados pagos de 1 ano
Comece a planejar agora:
- Avalie o Let’s Encrypt — até 2029, certs pagos e gratuitos terao a mesma frequencia de renovação. O premium vale a pena?
- Implemente automacao ACME — mesmo CAs comerciais suportam ACME (DigiCert, Sectigo)
- Orcamento para ferramentas de automacao — plataformas de gerenciamento de ciclo de vida de certificados se você gerencia 100+ certs
Quem votou a favor?
O ballot (SC-081) foi apoiado por todos os quatro principais fornecedores de navegadores:
- Apple — propos a mudança
- Google — votou a favor
- Mozilla — votou a favor
- Microsoft — votou a favor
A oposicao das CAs foi mista, mas fornecedores de navegadores tem poder de veto. A mudança esta acontecendo.
Perguntas frequentes
O Let’s Encrypt vai mudar sua validade de 90 dias?
O Let’s Encrypt pode reduzir para 47 dias quando as novas regras entrarem em vigor, ou manter 90 dias se isso ainda estiver dentro do maximo. De qualquer forma, o processo de renovação não muda — e a maioria dos usuarios já renova no dia 60.
Isso afeta certificados existentes?
Não. Certificados já emitidos permanecem validos até sua data de expiração declarada. As novas regras se aplicam a certificados emitidos após as datas efetivas.
Devo mudar para Let’s Encrypt agora?
Se você esta pagando por certificados de 1 ano, a relação custo/beneficio esta mudando rápido. O modelo de 90 dias do Let’s Encrypt já esta mais proximo do futuro de 47 dias, e o ecossistema (Certbot, acme.sh, GetHTTPS) e maduro. Mudar agora significa que você esta pronto quando a mudança chegar.
Isso vai quebrar dispositivos ou navegadores antigos?
Não. A mudança e sobre validade maxima, não o formato do certificado ou versão do TLS. Dispositivos antigos que funcionam com certificados atuais funcionarao com os de menor duracao. O dispositivo não sabe nem se importa com quanto tempo o certificado é válido — ele apenas verifica a data de expiração.
E quanto a certificados internos/privados?
Essa mudança se aplica apenas a certificados publicamente confiaveis (aqueles nos trust stores dos navegadores). CAs internas emitindo certificados para redes corporativas não sao regidas pelas regras do CA/B Forum.