# Planejador de renovação de certificados

> Calcule a validade de um certificado TLS, se ele se encaixa no cronograma de 47 dias do CA/Browser Forum, e a cadência de renovação que isso implica; tudo offline.

- Tool: https://ronutz.com/pt-BR/tools/cert-renewal-planner
- Family: Certificados e PKI

---

## O que faz

Dê à ferramenta as datas de início e de fim de um certificado, seu `notBefore` e seu `notAfter`, e ela deduz as consequências práticas: por quanto tempo o certificado é válido, sob qual fase do cronograma de redução de validade do CA/Browser Forum ele foi emitido e se seu comprimento cabe no limite daquela fase, quantas renovações por ano essa cadência implica, as janelas de reúso para validação de domínio e de identidade naquela era, e um tempo de antecedência recomendado e uma data de "renovar até". É pura aritmética de datas e roda inteiramente offline.

## Por que a validade dos certificados está encolhendo

Os certificados TLS publicamente confiáveis vêm ficando mais curtos há anos, e o ballot SC-081v3 do CA/Browser Forum estabelece um cronograma que reduz a validade máxima de 398 dias, passando por 200 e 100 dias, até 47 dias em 2029. Certificados mais curtos limitam por quanto tempo um certificado comprometido ou emitido por engano continua útil, mas também tornam a renovação manual impraticável, o que é justamente o ponto: o cronograma efetivamente força a automação. Duas janelas relacionadas encolhem junto com a validade: o período pelo qual uma validação de controle de domínio (DCV) pode ser reutilizada, e o período pelo qual informações de identidade validadas (SII) podem ser reutilizadas, de modo que mais do processo precisa ser repetido com mais frequência.

## O que o plano informa

A partir apenas das duas datas, a ferramenta deriva o quadro completo:

- o **comprimento da validade** e a qual fase do SC-081v3 ele corresponde, com um sim ou não claro sobre se o comprimento está dentro do limite daquela fase;
- a **cadência de renovação**, expressa em renovações por ano, tanto para o limite atual quanto para cada limite futuro, para você ver como a carga de trabalho cresce;
- as **janelas de reúso de DCV e SII** que se aplicam à era de emissão; e
- um **tempo de antecedência de renovação recomendado** e a data de "renovar até" resultante, para que uma renovação seja concluída antes da expiração, e não em cima da hora.

## A automação é a verdadeira resposta

Como o ponto final desse cronograma é um certificado de 47 dias, renovar à mão muitas vezes por ano por certificado não escala. A resposta padrão é o protocolo ACME (RFC 8555), a emissão e renovação automatizadas que ferramentas como o certbot usam; os números de cadência do planejador são, na verdade, um argumento para adotá-lo.

## Como usar

Informe as datas `notBefore` e `notAfter` do certificado e leia a validade, o encaixe no cronograma, a cadência de renovação, as janelas de reúso e a data de renovação recomendada. O cálculo é uma função pura dessas duas datas; se um certificado está expirado agora é mostrado separadamente, em relação ao relógio do seu dispositivo.

## Standards and references

- [CA/Browser Forum — Ballot SC-081v3 (schedule of reducing validity and data reuse periods)](https://cabforum.org/) - the 398 → 200 → 100 → 47-day TLS validity schedule and the DCV/SII reuse reductions (2026-2029)
- [RFC 5280 — Internet X.509 PKI Certificate and CRL Profile](https://www.rfc-editor.org/rfc/rfc5280) - certificate validity period semantics (notBefore / notAfter)
- [RFC 8555 — Automatic Certificate Management Environment (ACME)](https://www.rfc-editor.org/rfc/rfc8555) - the automated issuance/renewal that shortened lifetimes make necessary

## Related reading

- [A era dos 47 dias: como os tempos de vida dos certificados TLS estão encolhendo](https://ronutz.com/pt-BR/learn/tls-certificate-lifetimes.md): O cronograma SC-081v3 do CA/Browser Forum reduz a validade máxima de certificados TLS públicos de 398 para 47 dias até 2029, em três etapas. Quais são as fases, por que 47, e o que isso faz com o volume de renovações.
- [ACME no BIG-IP: dos scripts do DevCentral a um cliente nativo](https://ronutz.com/pt-BR/learn/bigip-acme-certificate-automation.md): Como funciona a automação de certificados Let's Encrypt e outros ACME no F5 BIG-IP: o cliente ACMEv2 nativo introduzido no BIG-IP 21.1.0 (provisionamento, renovação e implantação para qualquer CA ACMEv2), as soluções comunitárias baseadas em dehydrated que vieram antes, o perfil centralizado de gerenciamento de CA Let's Encrypt do BIG-IQ, e onde os conceitos e limites de emissão ACME compartilhados se encaixam.
- [ACME no FortiGate: um cliente embutido para o certificado do próprio equipamento](https://ronutz.com/pt-BR/learn/fortigate-acme-certificate-automation.md): Como o suporte ACME nativo do FortiOS obtém e renova um certificado Let's Encrypt para o próprio FortiGate: os requisitos de IP público e FQDN, a restrição de SAN de nome único, os desafios TLS-ALPN-01 e HTTP-01 (e quais versões do FortiOS os suportam), a configuração via GUI e CLI, e como isso difere do cliente nativo do BIG-IP.
- [Janelas de validade: notBefore, notAfter e a antecedência da renovação](https://ronutz.com/pt-BR/learn/certificate-validity-windows.md): Como o tempo de vida de um certificado é definido por dois carimbos de tempo, como esse tamanho é medido contra o limite, por que validade não é o mesmo que tempo restante, e como escolher uma antecedência para a renovação.
- [Let's Encrypt: a CA gratuita e seus limites de emissão](https://ronutz.com/pt-BR/learn/lets-encrypt.md): O que é a Let's Encrypt, por que seus certificados são de vida curta e como seus limites de emissão realmente funcionam: os limites por domínio registrado e por conta, os limites por conjunto exato e por falha de autorização, e por que as renovações por ARI são isentas de todos eles.
- [PKI pública e privada: quais certificados a SC-081v3 governa](https://ronutz.com/pt-BR/learn/public-vs-private-pki.md): O cronograma dos 47 dias vincula apenas certificados TLS publicamente confiáveis. O que separa a PKI pública da privada, por que as ACs internas estão isentas, e como ler o veredito de conformidade do planejador para um certificado interno.
- [Renovar antes da expiração: antecedência, ACME e ARI](https://ronutz.com/pt-BR/learn/renewing-before-expiry.md): Por que a renovação tardia causa quedas, como o ACME automatiza a emissão e a renovação, como a extensão ARI permite que uma AC guie a janela de renovação, e como escolher uma antecedência que deixe espaço para tentar de novo.
- [Reutilização de DCV e SII: a cadência de validação por trás da renovação](https://ronutz.com/pt-BR/learn/dcv-and-sii-reuse.md): Emitir um certificado significa provar o controle do domínio e, para OV/EV, a identidade da organização. A SC-081v3 encurta por quanto tempo essas provas podem ser reutilizadas, o DCV para 10 dias até 2029, o que remodela a renovação tanto quanto a validade.
