A era do “renovar depois” acabou de encolher. O Let’s Encrypt colocou em disponibilidade geral uma nova categoria de certificados SSL com validade de 160 horas, pouco mais de 6 dias. Na prática, isso transforma a renovação frequente de um “bom hábito” em requisito básico: sem automação, você está pedindo para o cadeado do site apagar.
E tem mais: junto dos short-lived, o Let’s Encrypt também liberou certificados para endereços IP, algo que muita gente esperava há anos. Só que existe uma condição importante: certificado para IP obrigatoriamente nasce com vida curta. O recado é direto, TLS moderno não combina com processos manuais.
O fim da renovação manual?
- Validade de 6 dias (160h): o ciclo é curto o suficiente para punir qualquer rotina “no braço”.
- Ativação via ACME: para emitir, o assinante precisa selecionar o perfil de certificado “shortlived” no cliente ACME.
- Certificado para IP (IPv4 e IPv6): agora dá para autenticar conexões TLS direto em um endereço IP, não apenas em nomes de domínio.
- IP exige short-lived: o Let’s Encrypt decidiu atrelar IP a vida curta porque IP é mais transitório, então a validação precisa acontecer com mais frequência.
O argumento de segurança aqui é simples e duro: quando uma chave privada vaza, a teoria diz “revoga e resolve”. O problema é que, na vida real, revogação nem sempre funciona bem para todo mundo. Com validade curta, o “tempo de dano” cai de um cenário que podia chegar a 90 dias para poucos dias, porque o certificado expira rápido.
Por enquanto, os short-lived são opt-in, não viram padrão automaticamente. Mas o plano de fundo é claro: o próprio Let’s Encrypt já reafirmou que as validades padrão devem cair de 90 para 45 dias ao longo dos próximos anos. Ou você automatiza agora, ou vai ser empurrado por prazos cada vez menores.
Para configurar seu cliente ACME e habilitar o perfil short-lived, o caminho mais seguro é seguir a documentação oficial do Let’s Encrypt e as instruções do seu cliente (como Certbot, acme.sh ou equivalente).