O Let's Encrypt é realmente totalmente gratuito?

Sim, para os certificados. O ISRG aceita doações e patrocínios corporativos para financiar operações. Não há níveis, vendas adicionais e taxas para qualquer recurso. O custo é suportado pelos patrocinadores e doadores, de modo que a Internet mais ampla recebe HTTPS sem nenhum custo marginal.

Os certificados Let's Encrypt são tão seguros quanto os pagos?

A criptografia é idêntica – cada CA no programa raiz público usa os mesmos padrões TLS. Os certificados do Let's Encrypt são aceitos por todos os navegadores modernos. As diferenças estão no nível de validação (somente DV) e no suporte operacional, e não na força da segurança.

Com que frequência devo renovar?

Na prática, a cada 60 dias – os clientes renovam quando o certificado tem 30 dias de validade restantes. O objetivo do ACME é que isso seja automatizado, então a renovação acontece sem você perceber. Se o seu cliente quebrar, você receberá e-mails de expiração da Let's Encrypt com 20 dias para consertar.

Um site pode mentir sobre ser seguro com o Let's Encrypt?

Um site de phishing pode obter um certificado Let's Encrypt para seu próprio domínio – cada CA é emitida para qualquer pessoa que possa provar o controle do domínio. O certificado prova que o site é o que seu URL diz, e não que o site seja confiável. A validação de domínio sempre significou isso, e a acessibilidade do Let's Encrypt não mudou isso.

O que acontece se a chave CA do Let's Encrypt for comprometida?

Uma resposta planejada inclui a geração de novas raízes off-line (o ISRG tem múltiplas raízes e intermediários), a reemissão de certificados na nova cadeia e a coordenação com os navegadores para adicionar novas raízes e desconfiar das antigas. O ISRG praticou este cenário. Um incidente real ainda seria extremamente perturbador, mas recuperável em semanas, não em anos.

Vamos criptografar explicado: como os certificados TLS automatizados gratuitos dominaram a web

Antes de 2015, cada certificado TLS custava dinheiro – muitas vezes centenas de dólares por ano – e o processo de emissão era uma provação manual de várias etapas. O Let's Encrypt chegou em versão beta no final de 2015 com uma única proposta: certificados gratuitos e automatizados de 90 dias, sem envolvimento humano. Uma década depois, emitiu mais de quatro bilhões de certificados e tornou efetivamente possível o HTTPS universal.

O corpo completo do artigo é fornecido em inglês abaixo.

Let's Encrypt é uma autoridade de certificação operada pelo Internet Security Research Group (ISRG), uma organização sem fins lucrativos dos EUA 501(c)(3) financiada por patrocinadores, incluindo Mozilla, EFF, Cisco, Akamai e muitos outros. Sua missão é tornar a criptografia do tráfego da Internet universalmente disponível - e por qualquer medida razoável, ela conseguiu.

Os números

A escala do Let's Encrypt é impressionante:

Certificados ativos: ~430 milhões no final de 2025
Domínios protegidos: ~325 milhões
Certificados emitidos: ~6 bilhões desde o lançamento
Custo operacional: menos de US$ 5 milhões por ano
Headcount: aproximadamente 25 funcionários

Para contextualizar, a Let's Encrypt emite mais certificados do que qualquer outra CA combinada e tem sido a maior CA em volume de emissão para anos.

O protocolo ACME

A inovação técnica que tornou o Let's Encrypt possível é o ACME (Automatic Certificate Management Environment), um protocolo para emissão de certificados totalmente automatizada. Padronizado como RFC 8555 em 2019, ACME define como um cliente solicita um certificado, comprova o controle do domínio e baixa o certificado emitido - tudo sem envolvimento humano.

O fluxo:

O cliente cria uma conta com a CA (única, registrada em um par de chaves).
O cliente solicita um certificado para um ou mais domínios.
CA responde com desafios — provas que o cliente deve concluir para demonstrar o controle de cada domínio.
Client conclui os desafios e notifica o CA.
CA valida e emite o certificado.
Client faz o download e implanta it.

Todo o processo leva de 10 a 60 segundos.

Os três tipos de desafio

HTTP-01: O cliente coloca um arquivo específico em http://example.com/.well-known/acme-challenge/. A CA busca e valida o conteúdo. Requer controle do servidor web na porta 80.
DNS-01: O cliente adiciona um registro TXT com um valor específico em _acme-challenge.example.com. A CA consulta o DNS e valida. Necessário para certificados curinga e útil quando a porta 80 não está acessível.
TLS-ALPN-01:O cliente fornece um certificado específico durante um handshake TLS na porta 443 com o protocolo acme-tls/1 ALPN. A CA inicia uma conexão TLS e valida. Útil quando as portas 80 e DNS são restritas.

Ferramentas de cliente comuns

certbot — o cliente de referência da EFF, amplo ecossistema de plug-ins, baseado em Python, o padrão para a maioria dos servidores admins.
acme.sh — shell script puro, dependências mínimas, funciona em roteadores e sistemas embarcados.
Caddy — servidor web com ACME integrado; nenhum gerenciamento de certificado é necessário, basta configurar o domínio.
Traefik, nginx-ingress, AWS ACM, Cloudflare - muitas plataformas integram ACME nativamente para que os usuários nunca vejam os certificados.

Por que certificados de 90 dias

Vamos criptografar problemas Certificados de 90 dias, com clientes normalmente renovando na marca de 60 dias. Vidas curtas:

LImitar danos causados por chaves privadas comprometidas
Forçar a automação de renovação, o que significa que as renovações realmente acontecem dentro do cronograma
Tornar a revogação menos importante (um certificado comprometido expira em breve de qualquer maneira)

A indústria tem tendência a vidas mais curtas em geral - principais navegadores agora limita os certificados comerciais a 397 dias, e propostas para certificados comerciais de 90 ou 47 dias estão em discussão.

O que o Let's Encrypt não faz

Validação Estendida. Let's Encrypt apenas faz Validação de Domínio. Se você deseja um certificado EV com o nome legal da sua organização, você precisa de um CA comercial.
Certificados de assinatura de código. Diferentes armazenamentos confiáveis, procedimentos diferentes.
S/MIME certificados de e-mail. Também diferente - Let's Encrypt apenas faz TLS.
Phone suporte. Somente autoatendimento; fóruns da comunidade para obter ajuda. A economia do Grátis não funcionaria de outra forma.

O impacto

Antes do Let's Encrypt, a adoção de HTTPS girava em torno de 30% dos carregamentos de páginas. Em 2020, havia ultrapassado 80%. Hoje está bem acima de 95%. Os navegadores agora marcam sites HTTP como Não Seguros precisamente porque o custo de mudança para HTTPS caiu para zero. A grande maioria dos novos sites, blogs, projetos paralelos e ferramentas internas que vêm com HTTPS hoje o fazem porque Let's Encrypt tornou esse o caminho de menor resistência.

A missão não está totalmente completa - alguns serviços legados ainda usam HTTP, algumas regiões e ISPs ficam atrasados - mas a Internet é um lugar mensuravelmente mais seguro porque uma organização sem fins lucrativos decidiu que os certificados deveriam ser gratuitos.

Perguntas frequentes

O Let's Encrypt é realmente totalmente gratuito?: Sim, para os certificados. O ISRG aceita doações e patrocínios corporativos para financiar operações. Não há níveis, vendas adicionais e taxas para qualquer recurso. O custo é suportado pelos patrocinadores e doadores, de modo que a Internet mais ampla recebe HTTPS sem nenhum custo marginal.
Os certificados Let's Encrypt são tão seguros quanto os pagos?: A criptografia é idêntica – cada CA no programa raiz público usa os mesmos padrões TLS. Os certificados do Let's Encrypt são aceitos por todos os navegadores modernos. As diferenças estão no nível de validação (somente DV) e no suporte operacional, e não na força da segurança.
Com que frequência devo renovar?: Na prática, a cada 60 dias – os clientes renovam quando o certificado tem 30 dias de validade restantes. O objetivo do ACME é que isso seja automatizado, então a renovação acontece sem você perceber. Se o seu cliente quebrar, você receberá e-mails de expiração da Let's Encrypt com 20 dias para consertar.
Um site pode mentir sobre ser seguro com o Let's Encrypt?: Um site de phishing pode obter um certificado Let's Encrypt para seu próprio domínio – cada CA é emitida para qualquer pessoa que possa provar o controle do domínio. O certificado prova que o site é o que seu URL diz, e não que o site seja confiável. A validação de domínio sempre significou isso, e a acessibilidade do Let's Encrypt não mudou isso.
O que acontece se a chave CA do Let's Encrypt for comprometida?: Uma resposta planejada inclui a geração de novas raízes off-line (o ISRG tem múltiplas raízes e intermediários), a reemissão de certificados na nova cadeia e a coordenação com os navegadores para adicionar novas raízes e desconfiar das antigas. O ISRG praticou este cenário. Um incidente real ainda seria extremamente perturbador, mas recuperável em semanas, não em anos.