Let's Encrypt Deixou de Ser uma Opção? Um Panorama das Alternativas
Uma atualização recente nos termos de serviço do Let's Encrypt gerou preocupações, especialmente na Rússia, sobre a dependência de infraestrutura americana. Este artigo explora as implicações e apresenta alternativas viáveis.
MundiX News·11 de junho de 2026·4 min de leitura·👁 7 views
Em 4 de junho de 2026, o Let's Encrypt atualizou discretamente seus termos de serviço para a versão 1.7. Uma nova cláusula exige que os solicitantes de certificados confirmem que não estão sujeitos a sanções completas dos EUA. Na Rússia, isso gerou um debate considerável, e com razão. Na Bielorrússia, o silêncio prevalece, mas isso não significa que o problema não nos afete.
O que Mudou nos Termos de Serviço
Uma nova cláusula foi adicionada à seção de garantias do Contrato do Assinante 1.7. O usuário confirma que não está, não está registrado ou não reside em territórios sob sanções completas dos EUA; não está em listas de sanções da OFAC; não é uma entidade controlada por tais indivíduos; e utilizará os serviços da ISRG em conformidade com as regras de controle de exportação.
Como o Bloqueio Funciona Tecnicamente
É crucial entender que o Let's Encrypt não pode revogar em massa certificados válidos sem consequências técnicas graves. Isso causaria a falha de milhões de sites globalmente e minaria a confiança em toda a infraestrutura PKI. Em vez disso, três cenários são possíveis:
Cenário 1: Recusa de Renovação (Mais Provável)
Seus certificados atuais continuarão funcionando até o vencimento (90 dias). Ao tentar renovar, o certbot ou acme.sh receberá um erro da API. Você terá 90 dias para migrar, mas se usar renovação automática e não monitorar os logs, descobrirá o problema apenas após o vencimento do certificado.
Cenário 2: Bloqueio Pontual por Domínio/IP
O Let's Encrypt adicionará domínios ou endereços IP específicos a uma lista negra. Solicitações de emissão de certificados para esses domínios serão rejeitadas. Certificados válidos para domínios bloqueados podem ser revogados via CRL/OCSP.
Cenário 3: Bloqueio por Geolocalização (Improvável)
O Let's Encrypt bloqueará solicitações de endereços IP de países específicos. Tecnicamente viável, mas criaria enormes problemas de falsos positivos (VPNs, CDNs, proxies). Este cenário é improvável para a Rússia e Bielorrússia, mas possível para países sob sanções completas.
Conclusão: Não haverá um bloqueio massivo e instantâneo. O problema reside no fato de que a renovação automática falhará silenciosamente – você só descobrirá quando o certificado expirar.
Experiência Russa e Lições para a Bielorrússia
Tecnicamente, o Let's Encrypt continua emitindo certificados para usuários russos. No entanto, a apreensão na comunidade russa é compreensível. Não por causa desta atualização específica, mas pela lógica geral: a dependência da infraestrutura americana em um ambiente de pressão de sanções imprevisível é um risco. Hoje, o Let's Encrypt funciona. Amanhã, uma decisão política pode alterar a interpretação das isenções da OFAC, e não haverá aviso técnico.
Formalmente, a Bielorrússia está em uma posição mais vantajosa do que a Rússia no momento. Não há sanções completas dos EUA. No entanto, o cenário de sanções muda rapidamente e de forma imprevisível. A Bielorrússia vive há anos sob o regime de "algo mudará – não se sabe quando e para onde". Desenvolvedores russos estão hoje pesquisando "alternativas ao Let's Encrypt" – não porque os certificados pararam de funcionar, mas porque pensar nisso depois que pararem já será tarde demais.
Alternativas Gratuitas
Existem substitutos gratuitos para o Let's Encrypt:
ZeroSSL: A opção mais simples. Certificados gratuitos, suporta o protocolo ACME, funciona com os mesmos certbot e acme.sh sem necessidade de reaprendizado. Registrado na Áustria.
Google Trust Services: Gratuito via ACME, requer uma conta Google Cloud (o nível gratuito é suficiente). Infraestrutura americana.
step-ca: Se você precisa de sua própria CA interna com suporte ACME. Para microsserviços, VPNs, ferramentas internas. Implementado em minutos, os mesmos clientes.
Em agosto de 2025, a autoridade certificadora norueguesa Buypass anunciou a interrupção da emissão de certificados SSL, incluindo seu serviço gratuito Go SSL. Isso demonstra que mesmo CAs europeias confiáveis podem sair do mercado. Portanto, não dependa de uma única fonte – sempre tenha um plano de migração para um serviço alternativo.
Quando Considerar um Certificado Pago
Se você deseja ir além de simplesmente trocar uma "fachada" de um servidor ACME gratuito por outro e eliminar completamente a dependência de protocolos automatizados que podem ser desativados em teoria, vale a pena considerar certificados pagos.
A Rússia vive sob sanções há vários anos, e o mercado de certificados SSL se adaptou. Revendedores russos oferecem certificados de CAs internacionais com pagamento em rublos. Os preços começam em 1500-3000 RUB por ano para um certificado DV. A situação na Bielorrússia é semelhante, mas o mercado é menor e menos diversificado. No entanto, revendedores locais oferecem as mesmas CAs internacionais – GlobalSign, Sectigo, DigiCert – com pagamento em rublos bielorrussos. Os preços começam em 29-40 BYN por ano para um certificado DV básico, o que é aproximadamente equivalente aos preços russos, considerando a taxa de câmbio.
O que isso oferece às empresas bielorrussas? Primeiro, pagamento em BYN via ERIP ou transferência bancária – sem necessidade de se preocupar com conversão de moeda e transferências internacionais. Segundo, um contrato com uma entidade legal bielorrussa sob a legislação local – isso fornece documentos de fechamento para fins fiscais sem complicações. Terceiro, suporte técnico em russo e no fuso horário bielorrusso – não é preciso esperar por uma resposta do suporte estrangeiro. E, finalmente, a ausência de limites rígidos na emissão de certificados, que os servidores ACME gratuitos possuem.
Existem também desvantagens. O mercado bielorrusso é menor, portanto, a escolha de revendedores é limitada. A automação via API é menos desenvolvida do que na Rússia, o que pode tornar a emissão em massa de centenas de certificados inconveniente. Mas se você tem uma dúzia ou duas de domínios, isso é suficiente.
A desvantagem dos certificados pagos é a mesma de sempre – não há renovação automática via ACME. Uma vez por ano, você precisará gerar um CSR, passar pela validação do domínio e atualizar manualmente os arquivos no servidor. Mas se você tem poucos domínios, isso leva 15 minutos de trabalho, não uma crise.
Conclusão
Para os desenvolvedores bielorrussos, nada mudou no momento – o Let's Encrypt está funcionando, e o novo acordo não os afeta. No entanto, observar como a comunidade russa se mobilizou após a atualização é um bom motivo para gastar meia hora e verificar o quão dependente sua infraestrutura está de um único serviço americano. A experiência russa mostra que a compra através de revendedores locais é uma solução funcional que elimina a dependência de pagamentos diretos para os EUA e oferece suporte técnico local. A Bielorrússia pode usar essa experiência sem esperar por uma crise. Além disso, o mercado já está formado, os preços são adequados e o processo de obtenção de um certificado não difere do russo.
Em 4 de junho de 2026, o Let's Encrypt atualizou discretamente seus termos de serviço para a versão 1.7. Uma nova cláusula exige que os solicitantes de certificados confirmem que não estão sujeitos a sanções completas dos EUA. Na Rússia, isso gerou um debate considerável, e com razão. Na Bielorrússia, o silêncio prevalece, mas isso não significa que o problema não nos afete.
O que Mudou nos Termos de Serviço
Uma nova cláusula foi adicionada à seção de garantias do Contrato do Assinante 1.7. O usuário confirma que não está, não está registrado ou não reside em territórios sob sanções completas dos EUA; não está em listas de sanções da OFAC; não é uma entidade controlada por tais indivíduos; e utilizará os serviços da ISRG em conformidade com as regras de controle de exportação.
Como o Bloqueio Funciona Tecnicamente
É crucial entender que o Let's Encrypt não pode revogar em massa certificados válidos sem consequências técnicas graves. Isso causaria a falha de milhões de sites globalmente e minaria a confiança em toda a infraestrutura PKI. Em vez disso, três cenários são possíveis:
Cenário 1: Recusa de Renovação (Mais Provável)
Seus certificados atuais continuarão funcionando até o vencimento (90 dias). Ao tentar renovar, o certbot ou acme.sh receberá um erro da API. Você terá 90 dias para migrar, mas se usar renovação automática e não monitorar os logs, descobrirá o problema apenas após o vencimento do certificado.
Cenário 2: Bloqueio Pontual por Domínio/IP
O Let's Encrypt adicionará domínios ou endereços IP específicos a uma lista negra. Solicitações de emissão de certificados para esses domínios serão rejeitadas. Certificados válidos para domínios bloqueados podem ser revogados via CRL/OCSP.
Cenário 3: Bloqueio por Geolocalização (Improvável)
O Let's Encrypt bloqueará solicitações de endereços IP de países específicos. Tecnicamente viável, mas criaria enormes problemas de falsos positivos (VPNs, CDNs, proxies). Este cenário é improvável para a Rússia e Bielorrússia, mas possível para países sob sanções completas.
Conclusão: Não haverá um bloqueio massivo e instantâneo. O problema reside no fato de que a renovação automática falhará silenciosamente – você só descobrirá quando o certificado expirar.
Experiência Russa e Lições para a Bielorrússia
Tecnicamente, o Let's Encrypt continua emitindo certificados para usuários russos. No entanto, a apreensão na comunidade russa é compreensível. Não por causa desta atualização específica, mas pela lógica geral: a dependência da infraestrutura americana em um ambiente de pressão de sanções imprevisível é um risco. Hoje, o Let's Encrypt funciona. Amanhã, uma decisão política pode alterar a interpretação das isenções da OFAC, e não haverá aviso técnico.
Formalmente, a Bielorrússia está em uma posição mais vantajosa do que a Rússia no momento. Não há sanções completas dos EUA. No entanto, o cenário de sanções muda rapidamente e de forma imprevisível. A Bielorrússia vive há anos sob o regime de "algo mudará – não se sabe quando e para onde". Desenvolvedores russos estão hoje pesquisando "alternativas ao Let's Encrypt" – não porque os certificados pararam de funcionar, mas porque pensar nisso depois que pararem já será tarde demais.
Alternativas Gratuitas
Existem substitutos gratuitos para o Let's Encrypt:
ZeroSSL: A opção mais simples. Certificados gratuitos, suporta o protocolo ACME, funciona com os mesmos certbot e acme.sh sem necessidade de reaprendizado. Registrado na Áustria.
Google Trust Services: Gratuito via ACME, requer uma conta Google Cloud (o nível gratuito é suficiente). Infraestrutura americana.
step-ca: Se você precisa de sua própria CA interna com suporte ACME. Para microsserviços, VPNs, ferramentas internas. Implementado em minutos, os mesmos clientes.
Em agosto de 2025, a autoridade certificadora norueguesa Buypass anunciou a interrupção da emissão de certificados SSL, incluindo seu serviço gratuito Go SSL. Isso demonstra que mesmo CAs europeias confiáveis podem sair do mercado. Portanto, não dependa de uma única fonte – sempre tenha um plano de migração para um serviço alternativo.
Quando Considerar um Certificado Pago
Se você deseja ir além de simplesmente trocar uma "fachada" de um servidor ACME gratuito por outro e eliminar completamente a dependência de protocolos automatizados que podem ser desativados em teoria, vale a pena considerar certificados pagos.
A Rússia vive sob sanções há vários anos, e o mercado de certificados SSL se adaptou. Revendedores russos oferecem certificados de CAs internacionais com pagamento em rublos. Os preços começam em 1500-3000 RUB por ano para um certificado DV. A situação na Bielorrússia é semelhante, mas o mercado é menor e menos diversificado. No entanto, revendedores locais oferecem as mesmas CAs internacionais – GlobalSign, Sectigo, DigiCert – com pagamento em rublos bielorrussos. Os preços começam em 29-40 BYN por ano para um certificado DV básico, o que é aproximadamente equivalente aos preços russos, considerando a taxa de câmbio.
O que isso oferece às empresas bielorrussas? Primeiro, pagamento em BYN via ERIP ou transferência bancária – sem necessidade de se preocupar com conversão de moeda e transferências internacionais. Segundo, um contrato com uma entidade legal bielorrussa sob a legislação local – isso fornece documentos de fechamento para fins fiscais sem complicações. Terceiro, suporte técnico em russo e no fuso horário bielorrusso – não é preciso esperar por uma resposta do suporte estrangeiro. E, finalmente, a ausência de limites rígidos na emissão de certificados, que os servidores ACME gratuitos possuem.
Existem também desvantagens. O mercado bielorrusso é menor, portanto, a escolha de revendedores é limitada. A automação via API é menos desenvolvida do que na Rússia, o que pode tornar a emissão em massa de centenas de certificados inconveniente. Mas se você tem uma dúzia ou duas de domínios, isso é suficiente.
A desvantagem dos certificados pagos é a mesma de sempre – não há renovação automática via ACME. Uma vez por ano, você precisará gerar um CSR, passar pela validação do domínio e atualizar manualmente os arquivos no servidor. Mas se você tem poucos domínios, isso leva 15 minutos de trabalho, não uma crise.
Conclusão
Para os desenvolvedores bielorrussos, nada mudou no momento – o Let's Encrypt está funcionando, e o novo acordo não os afeta. No entanto, observar como a comunidade russa se mobilizou após a atualização é um bom motivo para gastar meia hora e verificar o quão dependente sua infraestrutura está de um único serviço americano. A experiência russa mostra que a compra através de revendedores locais é uma solução funcional que elimina a dependência de pagamentos diretos para os EUA e oferece suporte técnico local. A Bielorrússia pode usar essa experiência sem esperar por uma crise. Além disso, o mercado já está formado, os preços são adequados e o processo de obtenção de um certificado não difere do russo.
