O que é o Let's Encrypt — a CA gratuita que automatiza o HTTPS

Let's Encrypt é uma CA gratuita que emite certificados TLS/SSL. O ACME valida o controle do domínio automaticamente, então emissão e renovação são automáticas; certificados duram 90 dias. Como funciona (certbot/Caddy) e como evitar a expiração.

Publicado 2026-06-29 Atualizado 2026-06-29 4 min de leitura

"Eu quero HTTPS, mas certificados parecem caros e trabalhosos" — o Let's Encrypt mudou essa premissa. Ele é gratuito, e da emissão à renovação tudo pode ser totalmente automatizado. Veja como funciona, do ponto de vista de quem defende.

Como funciona: provar o controle do domínio, automaticamente (ACME)

Certificados tradicionais significavam solicitar, enviar documentação de identidade e esperar — tudo à mão. O Let's Encrypt substitui isso pelo ACME (Automatic Certificate Management Environment), um protocolo que transforma toda a troca em passos máquina a máquina.

1. Desafio: a CA diz "se você controla este domínio, você consegue colocar este valor em um lugar específico"

2. Provar: o servidor coloca o valor em um caminho web (HTTP-01) ou em um registro DNS (DNS-01)

3. Emitir: uma vez verificado, a CA emite o certificado. À medida que a expiração se aproxima, os passos 2–3 se repetem automaticamente

O básico do ACME: seu servidor prova na hora que controla o domínio e recebe um certificado automaticamente.

O ponto-chave: ele só verifica o controle do domínio (Validação de Domínio, DV). Não averigua a existência jurídica de uma empresa, e é por isso que o processo é leve o bastante para ser totalmente automatizado. A criptografia em si não é mais fraca do que a de um certificado pago.

A validade de 90 dias força a automação

Os certificados do Let's Encrypt são válidos por 90 dias. A janela curta é deliberada.

Reduzir o raio de impacto de uma chave vazada

Se a chave privada de um servidor algum dia vazar, um certificado de vida curta estreita a janela em que ela pode ser abusada — e, mesmo que a revogação atrase, ele expira sozinho.

Tornar a renovação automatizada o padrão

90 dias é impraticável de renovar à mão, então os operadores têm de automatizar — o que empurrou todo o setor rumo a "certificados são algo que você rotaciona automaticamente". Na prática, as ferramentas de renovação começam a tentar ~30 dias antes da expiração.

Então a tarefa real é monitorar

A renovação automatizada pode parar em silêncio — um cron quebrado, permissões alteradas, uma verificação de domínio que não passa mais. Se você não perceber, 90 dias depois ele expira. O hábito defensivo é monitorar o sucesso da renovação e os dias restantes.

Nossa visão: nós mesmos rodamos assim (TLS automático)

Este site roda no servidor web Caddy, que emite e renova certificados do Let's Encrypt automaticamente só por apontar um domínio para ele (quase não há configuração de certificado). "Não ter de pensar em certificados" é o objetivo: quanto menos lugares uma pessoa toca à mão, menos incidentes de expiração por uma troca esquecida. Se, em vez disso, você roda o certbot num cron, a jogada segura é monitorar se esse cron realmente continua rodando — não apenas confiar que sim.

O incidente nº 1: uma renovação que parou e, então, a expiração

O que as equipes mais encontram em torno do HTTPS não é um ataque — é um certificado expirado. Na expiração, o navegador lança um aviso de página inteira e os visitantes quase sempre vão embora. A causa é quase sempre "a automação de renovação tinha quebrado e ninguém percebeu".

É exatamente por isso que você deve ter uma forma de olhar periodicamente a expiração do seu próprio certificado. A auditoria de segurança de site deste site verifica o certificado TLS (dias restantes, expiração, protocolos desatualizados) em um site cuja posse você comprovou, junto com as outras verificações. Automatize a renovação e, então, verifique de fora se a automação está viva — esse hábito de duas camadas previne incidentes de expiração quase por completo.

Leia em seguida

Aprenda com um incidente: Heartbleed (uma falha em TLS/OpenSSL que ameaçou chaves no mundo todo)
Verifique seu próprio site: auditoria de segurança de site (certificado TLS, cabeçalhos, arquivos expostos em um só relatório)
Construa a base: a checklist de segurança básica para desenvolvedores indie

FAQ

QO Let's Encrypt é realmente gratuito e como ele difere de um certificado pago?

A emissão e a renovação são gratuitas. O Let's Encrypt só faz Validação de Domínio (DV) — verifica automaticamente que você controla o domínio. A força da criptografia é idêntica à de um certificado pago, e os navegadores mostram o mesmo cadeado. A diferença é que não há a etapa de Validação Organizacional/Estendida (OV/EV) que averigua a identidade jurídica de uma empresa, e não há garantia financeira. Para sites pessoais e serviços pequenos, um certificado DV gratuito quase sempre basta para servir HTTPS.

QPor que os certificados valem só 90 dias? Isso não é um incômodo?

A vida curta é uma escolha de design, não uma fraqueza. Ela limita por quanto tempo uma chave privada vazada pode ser abusada e força uma cultura em que a renovação é automatizada. Para evitar o incômodo, você automatiza a renovação (a maioria das ferramentas renova automaticamente a partir de ~30 dias antes da expiração). O risco real é o oposto — trocar certificados à mão uma vez por ano, depois esquecer e deixar um expirar.

QQuais ferramentas eu uso para configurar?

As mais comuns são o certbot (muito usado com Apache/Nginx) e o Caddy (um servidor web que serve HTTPS e renova automaticamente sem nenhuma configuração de certificado). O acme.sh e o Traefik também falam ACME. Se você precisa de um certificado curinga (*.example.com), você o obtém pelo método DNS-01, colocando um valor de verificação em um registro DNS.