A Let's Encrypt anunciou que não irá mais notificar os usuários sobre a iminente expiração de certificados via e-mail devido a altos custos, preocupações com privacidade e complexidades desnecessárias.
A decisão de encerrar o serviço de notificação de expiração por e-mail foi implementada a partir de 4 de junho de 2025, mas a Let's Encrypt agora a comunicou por meio de uma postagem em seu blog para aumentar a conscientização e prevenir interrupções inesperadas.
A Let's Encrypt é uma Autoridade Certificadora (CA) sem fins lucrativos que fornece certificados digitais gratuitos, automatizados e abertos para habilitar o HTTPS (SSL/TLS) em websites.
Em termos de tamanho, ela está entre as maiores CAs do mundo, emitindo centenas de milhões de certificados para bilhões de websites.
A Let's Encrypt é uma CA transparente que minimizou a retenção de dados sempre que possível.
Seu certificado raiz está incluído em todos os principais navegadores e repositórios de confiança de sistemas operacionais (OS), enquanto conta com o apoio de importantes empresas de tecnologia como Google, Cisco, Mozilla, EFF, Facebook e Akamai.
A organização utiliza um protocolo automatizado chamado ACME (Automatic Certificate Management Environment), que permite que websites e softwares de servidores automatizem a emissão, instalação e renovação de certificados com intervenção mínima ou nenhuma por parte do humano.
De acordo com o último anúncio, a existência dessa automação é a principal razão pela qual o serviço de notificação por e-mail está sendo descontinuado, já que sua necessidade está diminuindo.
A adoção de soluções de renovação automatizadas foi ainda mais acelerada por mudanças nos padrões, como o anúncio recente do CA/Browser Forum para reduzir a vida útil dos certificados para 47 dias até 2029.
Essa decisão tornou a gestão manual impraticável, se não impossível, incentivando fortemente a adoção da automação para se manter em conformidade e evitar interrupções.
Uma segunda razão importante para a decisão de abandonar o serviço de e-mail é o custo de operá-lo, que a Let's Encrypt estima ser "dezenas de milhares de dólares por ano".
A organização acredita que seria muito mais benéfico alocar esse dinheiro para outros aspectos de sua infraestrutura, que também é desnecessariamente sobrecarregada ao lidar com atividades de distribuição de e-mails.
"Fornecer notificações de expiração adiciona complexidade à nossa infraestrutura, o que leva tempo e atenção para gerenciar e aumenta a probabilidade de erros," explicou a Let's Encrypt.
A longo prazo, particularmente à medida que adicionamos suporte para novos componentes de serviço, precisamos gerenciar a complexidade geral eliminando componentes do sistema que já não podem mais ser justificados.
Por fim, a organização tem preocupações com a privacidade dos dados dos usuários, uma vez que agora precisa reter, gerenciar e proteger um banco de dados considerável de endereços de e-mail ligados aos registros de emissão para notificar as partes apropriadas.
A principal orientação para os usuários potencialmente impactados é adotar ferramentas que suportem o protocolo ACME, caso ainda não o tenham feito, e parar de depender dos e-mails de notificação da Let's Encrypt.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...