Prepare-se para a redução da validade dos Certificados SSL/TLS

A validade dos certificados SSL/TLS será drasticamente reduzida nos próximos anos. Conforme aprovado pelo CA/Browser Forum (Ballot SC-081v3), os certificados que antes eram emitidos com validade de 1 ano, terão sua vida útil gradualmente diminuída para 47 dias até 2029.

Este artigo explicará o cronograma oficial dessa redução, os motivos por trás dessa mudança global, os impactos operacionais para sua empresa e, principalmente, como você pode se preparar adequadamente com as nossas soluções de automação para evitar problemas futuros e facilitar o gerenciamento dos seus certificados SSL/TLS.

Por que um certificado SSL/TLS tem uma validade limitada?

A validade é uma propriedade importante do certificado SSL/TLS que define a sua data de vigência. A validade foi implementada e está sendo gradativamente reduzida principalmente para aumentar a segurança e reduzir o risco de falhas. Um certificado expirado é inválido e torna um site inseguro e inacessível.

O que o usuário vê quando o certificado SSL/TLS do site está vencido
Erro de validade do certificado SSL

Certificado SSL/TLS expirado = alerta no navegador, queda de conversão e perda de confiança.

O prazo de validade dos certificados SSL está sendo reduzido pelos seguintes motivos:

1. Manter informações atualizadas

Quanto maior a validade, maior o risco do certificado SSL continuar “válido” mesmo quando os dados já não refletem a realidade (por exemplo, controle do domínio mudando de mãos).

Certificados “mais novos” tendem a ser mais confiáveis, pois foram verificados recentemente.

2) Evitar problemas com falha na revogação

A revogação (CRL/OCSP) pode falhar e ser ignorada em alguns cenários.

Certificados SSL mais curtos limitam o “tempo de estrago” caso algo dê errado.

3) Incentivar à automação

A indústria já vem encurtando os prazos há anos, sinalizando que gerenciar os certificados SSL manualmente não escala e pode falhar. Com o prazo de validade se aproximando de 47 dias, a automação da emissão e renovação dos certificados SSL deixa de ser “boa prática” e vira requisito operacional.

4) Atualização das tecnologias de segurança

Ciclos menores ajudam a trocar chaves dos certificados SSL com mais frequência e a responder melhor à mudanças de padrões de segurança. A troca das chaves criptográficas do certificado SSL reduz os riscos de problemas com o comprometimento das mesmas.

Cronograma oficial de redução da validade dos certificados SSL/TLS DigiCert

A Autoridade Certificadora DigiCert, que também emite os certificados SSL/TLS da marca RapidSSL, Thawte e GeoTrust, se adiantou um pouco nos prazos definidos pelo CA/Browser Forum.

Até o dia 23 de fevereiro de 2026 será possível comprar/renovar conosco e emitir certificados SSL/TLS com validade de 1 ano. Após essa data, todos os certificados SSL/TLS serão emitidos com validade reduzida, de acordo com o seguinte cronograma oficial:

  • Até 23 de fevereiro de 2026: validade máxima de 397 dias.
  • A partir de 24 de fevereiro de 2026: validade máxima de 199 dias.
  • A partir de 15 de março de 2027: validade máxima de 99 dias.
  • A partir de 15 de março de 2029: validade máxima de 46 dias.
Até 23/02/2026 até 397 dias 24/02/2026 199 dias 15/03/2027 99 dias 15/03/2029 46 dias

A validade máxima dos certificados SSL/TLS da DigiCert será um dia menor do que a validade máxima estabelecida pelo CA/Browser Forum, para evitar exceder a validade máxima permitida.

Além da validade, também será reduzido o tempo de reutilização das informações de validação de domínio e da empresa. Após esse tempo será necessário realizar a validação novamente para novas emissões e reemissões de certificados:

Período máximo durante o qual as informações de validação de domínio podem ser reutilizadas:

  • Até 23 de fevereiro de 2026: 397 dias.
  • A partir de 24 de fevereiro de 2026: 199 dias.
  • A partir de 15 de março de 2027: 99 dias.
  • A partir de 15 de março de 2029: 10 dias.

Para certificados SSL/TLS do tipo OV e EV que exigem a validação da empresa, a partir de 24 de fevereiro de 2026 a validação da empresa só poderá ser reutilizada por 397 dias. Após esse período, será necessário realizar uma nova validação.

Desafios e implicações para as empresas e equipes de TI

A redução da validade dos certificados SSL/TLS exigirá que as empresas revejam os procedimentos de implementação e renovação dos certificados. Principais desafios:

  • Mais renovações: A necessidade de renovar os certificados SSL/TLS em períodos mais curtos, principalmente a partir de 2027, sobrecarregará significativamente as equipes de TI, caso o processo seja feito manualmente. Renovações manuais aumentam o risco de falha, causam indisponibilidade do site e podem impactar diretamente seu negócio.
  • Automação será essencial: As empresas deverão utilizar sistemas de gerenciamento e automação de certificados robustos, para que as renovações e instalações sejam feitas automaticamente.
  • Inventário obrigatório: Não dá para automatizar o que você não enxerga. Para empresas com uma quantidade grande de certificados, o sistema de gerenciamento deve ser capaz de fazer uma varredura contínua na sua infraestrutura para descobrir todos os certificados utilizados, para gerenciar o seu ciclo de vida.

A capacitação das equipes será fundamental. Administradores de sistema e profissionais de segurança precisarão desenvolver novas competências relacionadas à automação de certificados e gestão de ciclos de vida mais curtos.

Temos a solução: Automação como resposta estratégica

Para quem gerencia as renovações dos certificados SSL/TLS manualmente, solicitando, gerando e instalando o certificado dias antes do vencimento, o impacto será maior a partir de 2027, quando a validade dos certificados será reduzida para 99 dias. A partir de 2029 será praticamente inviável renovar os certificados manualmente, pois a validade será diminuída para apenas 46 dias.

O gerenciamento manual dos certificados vai continuar disponível, mas recomendamos que a partir de fevereiro de 2026, a sua empresa utilize uma das nossas soluções de automação para o gerenciamento automatizado dos seus certificados SSL/TLS.

Compre e renove o seu certificado conosco, mesmo que tenha sido adquirido por outra empresa, pois temos uma solução completa e eficiente para gerenciemento e automação de certificados SSL/TLS:

Opção 1: Uso do protocolo ACME para renovação automática

O protocolo ACME (Ambiente de Gerenciamento Automático de Certificados) estabelece um método padronizado para automatizar completamente o processo de obtenção e renovação de certificados SSL/TLS. Este protocolo facilita a comunicação direta entre Autoridades Certificadoras (AC) e servidores web, eliminando intervenções manuais. Na prática, o ACME define uma estrutura cliente-servidor onde o cliente roda no seu servidor e se comunica com o servidor ACME operado pela AC DigiCert.

A partir de fevereiro de 2026 iremos disponilizar gratuitamente um cliente ACME desenvolvido pela DigiCert e instruções detalhadas para o gerenciamento automático de certificados SSL/TLS, características:

Compatibilidade com sistemas e dispositivos:

  • Sistemas Operacionais: Windows e Linux
  • Servidores Web: Microsoft IIS, Apache HTTP Server, Apache Tomcat, Nginx, IBM HTTP Server
  • Load balancers: F5 BIG-IP LTM, Citrix ADC, A10
  • Load balancer as a service: Amazon Web Services (ALB, NLB, and CloudFront)
  • Outros servidores web e dispositivos serão adicionados futuramente

Recursos:

  • Gerenciar certificados individualmente ou em massa.
  • Gerenciar certificados para hosts padrão e dispositivos de rede.
  • Altamente configurável, com relatórios detalhados de uso.
  • É um software cliente leve que se atualiza automaticamente.
  • Utiliza um modelo de comunicação pull, que não requer alterações no firewall.
  • Fornece chamadas de API para integrações personalizadas.

Ações de automação

Abaixo estão listados os eventos do ciclo de vida do certificado que você pode programar e gerenciar por meio do nosso cliente ACME. Em todos os eventos, o serviço de automação lida não apenas com a solicitação inicial, mas também baixa e instala os certificados SSL/TLS automaticamente.

  • Solicitação de novos certificados: O cliente ACME gera a solicitação de assinatura de certificado (CSR) inicial e, em seguida, baixa e instala os novos certificados automaticamente assim que estiverem disponíveis.
  • Reemitir certificados existentes: As reemissões podem ser solicitadas para certificados individuais ou em massa. Os certificados reemitidos são instalados automaticamente quando estiverem prontos.
  • Renovar certificados: Os certificados podem ser configurados para renovação automática ou podem ser renovados a qualquer momento. Os novos certificados são instalados de forma integrada para evitar interrupções no serviço.
  • Substituir certificados: Os certificados de terceiros existentes podem ser substituídos automaticamente por novos certificados da DigiCert para aumentar a uniformidade e a segurança do sistema.
  • Solicitar certificados duplicados: Os certificados duplicados podem ser instalados automaticamente em sistemas redundantes para segurança extra. Os certificados duplicados são baixados e instalados imediatamente.

Adicionalmente, você poderá configurar a automação dos certificados para funcionar com clientes ACME de terceiros, como EFF certbot e Kubernetes cert-manager.

Opção 2: DigiCert CertCentral

Para empresas que possuem uma grande quantidade de certificados, disponibilizamos o CertCentral, um portal de gerenciamento centralizado de certificados da DigiCert.

O CertCentral simplifica o gerenciamento ao consolidar tarefas de emissão, reemissão, instalação e renovação de certificados SSL/TLS, VMC, Code Signing, Document Signing e S/MIME em um único local. Também possui uma ferramenta de inventário capaz de fazer uma varredura contínua na sua infraestrutura para descobrir todos os certificados utilizados.

Através do CertCentral você pode automatizar o ciclo de vida dos seus certificados através do protocolo ACME, como explicado acima, e também integrando o seu sistema através de API.

Conclusão

O cronograma estabelecido pelo CA/Browser Forum oferece tempo suficiente para uma adaptação gradual. Entretanto, atrasar a implementação de soluções adequadas pode resultar em crises operacionais significativas quando as reduções entrarem em vigor. A preparação deve começar com avaliação completa do inventário atual de certificados, seguida pela implementação de ferramentas de automação e capacitação das equipes.

A era dos processos manuais de gerenciamento de certificados digitais está chegando ao fim. Empresas que reconhecerem essa realidade e agirem agora garantirão não apenas conformidade com os novos padrões, mas também maior segurança, eficiência operacional e tranquilidade para suas equipes de TI nos próximos anos.

Caso ainda não seja nosso cliente, migre os seus certificados para a ActiveWeb, além de preços competitivos, oferecemos os sistemas de gerenciamento e automação de certificados da DigiCert.

Mesmo com a diminuição da validade dos certificados SSL/TLS, você poderá contratar conosco um plano de assinatura de certificados SSL/TLS com validade de até 3 anos. O plano permite a emissão contínua de novos certificados até completar a validade contratada. Dessa forma você fica protegido de aumento de preços e garante que o certificado estará ativo durante o período contratado.

Categorias