Let’s Encrypt é uma Autoridade Certificadora gratuita, automatizada e sem fins lucrativos (CA) que emite certificados SSL/TLS sem custo. E a maior CA do mundo com 63,9% de participacao de mercado e emitiu mais de 1 bilhao de certificados desde seu lancamento em 2016.
Let’s Encrypt e administrada pelo Internet Security Research Group (ISRG), apoiada por Mozilla, Google, EFF, Facebook e outros.
Como o Let’s Encrypt funciona
Let’s Encrypt usa o protocolo ACME (Automated Certificate Management Environment, RFC 8555) para automatizar a emissão de certificados:
- Provar propriedade do domínio — Completar um desafio (HTTP-01 ou DNS-01) para provar que você controla o domínio
- Submeter um CSR — Seu cliente ACME envia um Certificate Signing Request com sua chave pública
- Receber o certificado — Let’s Encrypt assina e retorna a cadeia de certificados
- Instalar e renovar — Implantar o certificado; renovar a cada 90 dias
Todo o processo e automatizado — sem emails, sem papelada, sem pagamento. Clientes ACME como GetHTTPS, Certbot e acme.sh cuidam do protocolo para você.
Por que é gratuito
A missao do Let’s Encrypt e tornar o HTTPS universal. Modelo de receita:
- Patrocinado por grandes empresas de tecnologia (Google, Mozilla, Meta, Cisco, EFF, etc.)
- Custos operacionais sao modestos — quase tudo e automatizado
- Sem equipe de suporte para usuarios individuais — apenas forum da comunidade
- Emite apenas certificados DV — sem verificação de identidade complexa para realizar
Isso não é “gratuito como em freemium.” Não ha tiers pagos, sem upsells, sem limites projetados para empurra-lo a um plano pago. E gratuito porque criptografia deveria ser um requisito básico, não um luxo.
Limites de taxa
Let’s Encrypt tem limites de taxa para prevenir abuso, mas sao generosos o suficiente para qualquer uso legitimo:
| Limite | Valor | Notas |
|---|---|---|
| Certificados por domínio registrado | 50 por semana | Cobre example.com e todos os subdomínios |
| Certificados duplicados | 5 por semana | Mesmo conjunto exato de nomes de domínio |
| Válidações falhas | 5 por hora | Por conta, por hostname |
| Novos registros | 10 por IP por 3 horas | Criação de conta ACME |
| Autorizações pendentes | 300 por conta | Desafios incompletos simultaneos |
Para testes, use o ambiente de staging do Let’s Encrypt — ele tem limites muito maiores e emite certificados de teste (não confiaveis por navegadores).
O que Let’s Encrypt não oferece
- Certificados OV/EV — apenas Domain Validation (DV)
- Suporte dedicado — apenas forum da comunidade
- Garantia — sem garantia financeira contra emissão incorreta
- Painel de gerenciamento de certificados — para isso servem os clientes ACME
- Certificados com mais de 90 dias — por design (validade curta limita exposicao se uma chave for comprometida)
Para a maioria dos sites, nenhum desses é necessário. Certificados DV fornecem a mesma criptografia que OV/EV. Veja nossa comparacao Let’s Encrypt vs SSL Pago.
Como usar Let’s Encrypt
Você não interage com Let’s Encrypt diretamente — você usa um cliente ACME:
| Cliente | Como funciona | Melhor para |
|---|---|---|
| GetHTTPS | Baseado em navegador, sem instalação, chave fica local | Certs rapidos sem acesso ao servidor |
| Certbot | Ferramenta CLI, auto-renovação, integracao com servidor | Servidores de producao com acesso root |
| acme.sh | Script shell, sem root necessário | Alternativa CLI leve |
| Caddy | ACME integrado, HTTPS automatico | Usuarios do servidor web Caddy |
Comparacao completa de ferramentas SSL gratuitas →
Perguntas frequentes
Let’s Encrypt e seguro?
Sim. Certificados Let’s Encrypt usam os mesmos padrões criptograficos que certificados pagos. Sao confiaveis por todos os principais navegadores e sistemas operacionais. Mais de 300 milhoes de certificados ativos protegem uma porcao significativa da web.
Por que certificados de 90 dias?
Validade curta limita o dano se uma chave privada for comprometida — um atacante só pode usar uma chave roubada até o certificado expirar. Também incentiva automacao, que e mais confiavel que renovação manual. Nota: o CA/Browser Forum esta movendo todas as CAs para validade de 47 dias até 2029.
Posso usar Let’s Encrypt para sites comerciais?
Sim. Não ha restricao sobre uso comercial. Certificados Let’s Encrypt sao usados por grandes empresas, produtos SaaS e sites de e-commerce. A licenca não coloca limitações no uso.
O que acontece se o Let’s Encrypt ficar fora do ar?
Certificados existentes continuam funcionando até expirarem — eles não ligam para casa. Você apenas não pode emitir ou renovar durante uma interrupcao. Let’s Encrypt tem um forte historico de disponibilidade e e apoiado por patrocinadores bem financiados. Se você esta preocupado, mantenha certificados renovados bem antes da expiração (dia 60 de 90).
Let’s Encrypt suporta certificados wildcard?
Sim. Certificados wildcard (*.example.com) sao suportados via o desafio DNS-01. Você precisa adicionar um registro TXT ao DNS do seu domínio para provar propriedade.
Let’s Encrypt em números
| Metrica | Valor |
|---|---|
| Certificados ativos | 300+ milhoes |
| Participacao global de mercado CA | 63,9% |
| Total de certificados emitidos | 1+ bilhao |
| Tipo de certificado | Apenas DV |
| Validade | 90 dias |
| Custo | Gratuito |
| Patrocinadores | Google, Mozilla, Meta, Cisco, EFF, Akamai e outros |
| Fundado | 2013 (ISRG), lancamento público 2016 |
| Protocolo | ACME (RFC 8555) |
| CA Raiz | ISRG Root X1 |
Por que algumas pessoas desconfiam do Let’s Encrypt (e por que estao erradas)
“Gratuito = menos seguro” — A forca da criptografia e definida pela especificacao TLS, não pela CA. Todas as CAs usam os mesmos algoritmos. Comparacao gratuito vs pago →
“Sem garantia = arriscado” — Garantias de CA cobrem erros de emissão incorreta da CA, não seu site sendo hackeado. Nenhum pagamento significativo de garantia foi documentado publicamente.
“Certs de 90 dias = não confiavel” — Validade curta é um recurso de segurança, não uma limitacao. Renovação automatizada (Certbot) torna isso invisivel.
“Sites de phishing usam Let’s Encrypt” — Verdade, mas sites de phishing também usam certificados pagos. Certificados DV verificam controle de domínio, não legitimidade do site. Isso e por design — criptografia protege dados em transito independentemente da intencao do site.