# Planejador de limites da Let's Encrypt

> Planeje a emissão de certificados para um conjunto de nomes de host: agrupe-os por domínio registrado e veja como se encaixam nos limites da Let's Encrypt.

- Tool: https://ronutz.com/pt-BR/tools/letsencrypt-rate-limits
- Family: Certificados e PKI

---

## O que faz

Cole a lista de nomes de host que você pretende colocar em certificados Let's Encrypt, e esta ferramenta os agrupa por **domínio registrado** (eTLD+1) e mostra como eles se encaixam nos limites de emissão da Let's Encrypt. Ela informa a menor quantidade de certificados que o conjunto precisa, sinaliza onde um curinga colapsaria vários subdomínios, e avisa quando uma abordagem ingênua de um certificado por nome excederia o limite semanal por domínio. Tudo roda localmente no seu navegador; nada é enviado para lugar nenhum.

## Por que o domínio registrado importa

O limite principal da Let's Encrypt contabiliza novos certificados contra o **domínio registrado**, não contra cada nome de host. Então `www.example.com`, `api.example.com` e `blog.example.com` consomem todos de um único orçamento semanal sob `example.com`. A ferramenta calcula esse agrupamento com a Public Suffix List, então está correto mesmo para sufixos de múltiplos rótulos: `shop.example.co.uk` e `www.example.co.uk` se agrupam sob `example.co.uk`, com três rótulos de profundidade, não `co.uk`. Errar essa fronteira é o motivo usual pelo qual as pessoas se surpreendem com um erro de limite.

## O que ela calcula

Para cada domínio registrado ela mostra a contagem de nomes pretendidos (contra o limite semanal por domínio), a menor quantidade de certificados necessária se você empacotar até 100 nomes por certificado, e quaisquer **candidatos a curinga**: um pai com dois ou mais subdomínios diretos, que um único nome `*.pai` poderia cobrir. O resumo totaliza os nomes, os domínios registrados distintos e o mínimo de certificados no geral, e levanta um aviso se algum domínio registrado exceder o limite semanal quando emitido um certificado por nome. Entradas de endereço IP são listadas separadamente, já que usam sua própria unidade, e qualquer coisa que não seja um nome de host válido (inclusive um sufixo público puro como `co.uk`) é destacada.

## Os limites que ela usa

Os números mostrados são um instantâneo datado e com fonte dos limites publicados da Let's Encrypt: 50 novos certificados por domínio registrado a cada 7 dias, 300 novos pedidos por conta a cada 3 horas, 5 certificados para o mesmo conjunto exato de nomes a cada 7 dias, e até 100 nomes por certificado. O fato mais útil para planejamento é que **renovações coordenadas por ARI são isentas de todos os limites**, então, uma vez emitido, manter os certificados renovados não é uma preocupação de limite. Como a Let's Encrypt pode mudar esses números, a ferramenta mostra a data do instantâneo e vincula a fonte; verifique essa página para os valores atuais antes de depender de uma margem apertada.

## Standards and references

- [Let's Encrypt — Rate Limits](https://letsencrypt.org/docs/rate-limits/) - the concrete production limits: 50 certs/registered-domain/7d, 300 orders/account/3h, 5/exact-set/7d, and the registered-domain = eTLD+1 (PSL) definition
- [Let's Encrypt — Integration Guide](https://letsencrypt.org/docs/integration-guide/) - the up-to-100-names-per-certificate issuance policy
- [Public Suffix List — publicsuffix.org](https://publicsuffix.org/list/) - the registered-domain grouping (eTLD+1) that the per-domain limit counts against

## Related reading

- [ACME no BIG-IP: dos scripts do DevCentral a um cliente nativo](https://ronutz.com/pt-BR/learn/bigip-acme-certificate-automation.md): Como funciona a automação de certificados Let's Encrypt e outros ACME no F5 BIG-IP: o cliente ACMEv2 nativo introduzido no BIG-IP 21.1.0 (provisionamento, renovação e implantação para qualquer CA ACMEv2), as soluções comunitárias baseadas em dehydrated que vieram antes, o perfil centralizado de gerenciamento de CA Let's Encrypt do BIG-IQ, e onde os conceitos e limites de emissão ACME compartilhados se encaixam.
- [ACME no FortiGate: um cliente embutido para o certificado do próprio equipamento](https://ronutz.com/pt-BR/learn/fortigate-acme-certificate-automation.md): Como o suporte ACME nativo do FortiOS obtém e renova um certificado Let's Encrypt para o próprio FortiGate: os requisitos de IP público e FQDN, a restrição de SAN de nome único, os desafios TLS-ALPN-01 e HTTP-01 (e quais versões do FortiOS os suportam), a configuração via GUI e CLI, e como isso difere do cliente nativo do BIG-IP.
- [Let's Encrypt: a CA gratuita e seus limites de emissão](https://ronutz.com/pt-BR/learn/lets-encrypt.md): O que é a Let's Encrypt, por que seus certificados são de vida curta e como seus limites de emissão realmente funcionam: os limites por domínio registrado e por conta, os limites por conjunto exato e por falha de autorização, e por que as renovações por ARI são isentas de todos eles.
