Pular para o conteúdo principal

Let's Encrypt

Lets Encript Logo

O que é Let's Encrypt?

Let's Encrypt é uma autoridade certificadora (CA) gratuita, automatizada e aberta que fornece certificados SSL/TLS para habilitar HTTPS em websites. Lançado em 2016 pela Internet Security Research Group (ISRG), o projeto não só revolucionou a forma como obtemos e gerenciamos certificados digitais mas também democratizou o acesso a HTTPS, tornando a web mais segura para todos.

Principais características:

  • Gratuito: 100% sem custos para certificados DV (Domain Validated)
  • Automatizado: Emissão e renovação via protocolo ACME
  • Aberto: Software open-source e processos transparentes
  • Seguro: Trusted por todos os principais navegadores e sistemas operacionais
  • Simples: Processo de validação rápido e descomplicado

Let’s Encrypt emite apenas certificados de 90 dias. O motivo é reduzir risco de chave comprometida e incentivar renovação automatizada via ACME e não existe opção paga, premium ou “especial” para aumentar esse prazo.

Se você precisa de períodos maiores (1 ano), só migrando para uma CA comercial (ex.: DigiCert, GlobalSign). Mas, pra 99% dos casos, automação resolve completamente.

Como funciona?

O Let's Encrypt utiliza o protocolo ACME (Automatic Certificate Management Environment) para automatizar a emissão e renovação de certificados. O processo envolve três etapas principais:

  1. Validação de Controle do Domínio - Provar que você controla o domínio
  2. Geração e Assinatura do Certificado - Let's Encrypt emite o certificado
  3. Renovação Automática - Renovação antes de expirar (90 dias)

Na etapa 1, existem 3 métodos diferentes para provar controle do domínio (escolha um):

MétodoComo funcionaQuando usar
HTTP-01Token na porta 80Caso mais comum
DNS-01Registro TXT no DNSWildcards, servidores internos
TLS-ALPN-01Handshake TLS na porta 443Porta 80 bloqueada

As etapas 2 e 3 são idênticas independente do método escolhido. Veja detalhes de cada método nos artigos acima.

Quando Usar?

Casos de Uso Ideais

O Let's Encrypt é altamente recomendado para:

1. Sites e Aplicações Web em Produção

  • Websites públicos: Blogs, portfólios, landing pages
  • E-commerce: Lojas virtuais (com ressalvas para EV certificates)
  • APIs REST/GraphQL: Comunicação segura entre serviços
  • Aplicações SaaS: Plataformas multi-tenant

2. Ambientes de Desenvolvimento e Staging

  • Ambientes de homologação: Certificados válidos sem custos
  • Testes de integração: Simular ambiente de produção real
  • CI/CD pipelines: Certificados temporários para testes

3. Infraestrutura Moderna

  • Kubernetes/Docker: Certificados para Ingress controllers
  • Microserviços: TLS entre serviços (service mesh)
  • Load balancers: Terminação SSL/TLS em proxies reversos
  • CDN: Integração com Cloudflare, AWS CloudFront

4. Projetos Open Source e Educacionais

  • Documentação: GitHub Pages, Read the Docs
  • Projetos pessoais: Sem custo para experimentação
  • Ambientes educacionais: Ensino de HTTPS e PKI

Vantagens em Produção

Sim, vale muito a pena usar em produção!

  • Custo zero: Economia significativa comparado a CAs comerciais
  • Automação completa: Reduz erro humano e overhead operacional
  • Segurança equivalente: Mesma criptografia de certificados pagos
  • Confiança universal: Trusted por 99%+ dos navegadores
  • Renovação automática: Elimina riscos de expiração
  • Rate limits generosos: 50 certificados/domínio/semana

Casos que Let's Encrypt Não é Utilizado

1. Requisitos legais, compliance ou auditoria

Algumas empresas precisam de certificados com garantias formais, suporte contratado ou validação corporativa.

Certificados EV (Extended Validation) e OV (Organization Validation)

Let's Encrypt emite apenas certificados DV (Domain Validation), que validam apenas o controle do domínio. Se você precisa de validação da organização, existem dois tipos de certificados comerciais:

OV - Organization Validation (Validação de Organização)

Certificado intermediário que valida tanto o domínio quanto a organização que o possui:

  • O que valida: Domínio + dados da empresa (CNPJ, razão social, endereço)
  • Processo: CA verifica documentos da empresa manualmente
  • Tempo de emissão: 1-3 dias
  • Custo: $50-200/ano
  • Exibe no certificado: Nome da empresa, localização, país
  • Uso típico: Sites corporativos, intranets, portais B2B
EV - Extended Validation (Validação Estendida)

Certificado premium com auditoria rigorosa da organização:

  • O que valida: Tudo do OV + auditoria completa da empresa
  • Processo: Verificação extensiva de existência física, propriedade legal, autoridade do solicitante
  • Tempo de emissão: 1-2 semanas
  • Custo: $150-1000/ano
  • Exibe no navegador: Nome da empresa em destaque (browsers modernos removeram a barra verde)
  • Uso típico: Bancos, e-commerce de grande porte, instituições financeiras

Comparação visual do certificado:

DV (Let's Encrypt):
  Common Name: exemplo.com

OV (CA Comercial):
  Common Name: exemplo.com
  Organization: Empresa LTDA
  Locality: São Paulo
  Country: BR

EV (CA Comercial Premium):
  Common Name: exemplo.com
  Organization: Banco Exemplo S.A.
  Business Category: Private Organization
  Serial Number: 12.345.678/0001-90
  Locality: São Paulo
  Country: BR

Importante: A criptografia é idêntica nos três tipos. A diferença está apenas no nível de verificação da identidade da organização, não na segurança da conexão.

Let's Encrypt não oferece suporte dedicado, SLA contratual ou garantias financeiras.

2. Ambientes onde ACME não é permitido

Algumas infraestruturas não permitem automação ou não conseguem provar controle de domínio da forma exigida:

  • Ambientes offline/air-gapped: Let's Encrypt exige validação pública do domínio
  • Equipamentos embarcados ou IoT: Dispositivos que não podem renovar certificados a cada 90 dias
  • Certificados wildcard com DNS bloqueado: Para obter certificados wildcard (*.dominio.com), é necessário provar controle através do desafio DNS-01, o que pode não ser possível em ambientes com DNS restrito ou sem automação

3. Certificados com parâmetros específicos que Let's Encrypt não oferece

Certificados de longo prazo

  • Let's Encrypt: Máximo de 90 dias (fixo, sem exceções)
  • CAs comerciais: 1 a 2 anos (alguns casos especiais até 3 anos)
  • Quando importa: Ambientes legados sem automação ou dispositivos que não podem renovar automaticamente

SANs (Subject Alternative Names) em grande quantidade

Subject Alternative Names permitem que um único certificado cubra múltiplos domínios e subdomínios:

Certificado com SANs:
  Common Name: exemplo.com
  SANs:
    - exemplo.com
    - www.exemplo.com
    - api.exemplo.com
    - admin.exemplo.com
    - blog.exemplo.com

Limites do Let's Encrypt:

  • Máximo de 100 SANs por certificado (limite técnico)
  • Rate limit de 50 certificados/semana por domínio registrado
  • Para empresas com centenas de subdomínios, pode ser limitante

Exemplo de cenário problemático:

Empresa com 500 subdomínios:
  - cliente1.saas.com
  - cliente2.saas.com
  - cliente3.saas.com
  ...
  - cliente500.saas.com

Precisaria de 5 certificados (100 SANs cada)
Solução melhor: certificado wildcard (*.saas.com)

Code Signing (Assinatura de Código)

Certificados para assinar digitalmente software, drivers, executáveis e scripts, provando autenticidade e integridade do código.

Uso típico:

  • Assinatura de executáveis Windows (.exe, .msi, .dll)
  • Drivers de kernel (obrigatório no Windows)
  • Aplicações macOS e iOS
  • Scripts PowerShell
  • Extensões de navegador

Por que Let's Encrypt não oferece:

  • Requer validação rigorosa da identidade do desenvolvedor/empresa
  • Processo manual de verificação (EV para code signing)
  • Responsabilidade legal sobre o código assinado
  • Referência oficial

S/MIME (Secure/Multipurpose Internet Mail Extensions)

Certificados para assinar e criptografar e-mails, garantindo autenticidade do remetente e confidencialidade da mensagem.

Como funciona:

E-mail assinado com S/MIME:
  From: [email protected] (Verificado ✓)
  Subject: Relatório Financeiro

  [Assinatura digital do remetente]
  [Conteúdo criptografado - apenas destinatário pode ler]

Benefícios:

  • Autenticidade: Destinatário sabe que o e-mail veio realmente de você
  • Integridade: Detecta se a mensagem foi alterada no caminho
  • Confidencialidade: Conteúdo criptografado (apenas destinatário pode ler)
  • Não-repúdio: Remetente não pode negar ter enviado

Uso típico:

  • Comunicações corporativas sensíveis
  • Contratos e documentos legais por e-mail
  • Setores regulados (saúde, financeiro, governo)
  • Compliance GDPR/LGPD

Por que Let's Encrypt não oferece:

  • Requer validação de identidade pessoal ou corporativa
  • Processo manual (não pode ser totalmente automatizado)
  • Gestão de chaves privadas do usuário (não do servidor)

4. Empresas que exigem auditoria formal ou integração com PKI interna

  • PKI corporativa: Organizações que operam PKI própria e precisam integrar certificados com HSM, carimbos de tempo certificados ou cadeias raiz específicas
  • Compliance governamental: Governos que exigem padrões específicos.

Você só precisa de CA comercial quando existe:

  • Exigência formal de compliance ou auditoria
  • Necessidade de suporte corporativo com garantia
  • Validação além de DV (como EV ou OV)
  • Certificados de longo prazo
  • Casos especiais (code signing, S/MIME, PKI fechada)

Se não tem nada disso, Let's Encrypt é suficiente e até mais seguro devido à renovação automática.

Let's Encrypt não emite certificados para:

  • Endereços IP (públicos ou privados, como 192.168.0.10)
  • Domínios internos (.local, .internal, .lan)
  • Servidores sem DNS público