Let’s Encrypt

Let’s Encrypt WordPress é a integração entre a Autoridade Certificadora gratuita Let’s Encrypt e sites WordPress, que permite emitir e renovar certificados SSL/TLS sem custo, com automação completa via protocolo ACME. Lançada em 2015 pela Internet Security Research Group (ISRG), com financiamento de Mozilla, EFF, Cisco e Akamai, a Let’s Encrypt mudou o cenário de segurança web ao tornar HTTPS acessível a qualquer site no mundo. Em 2026, é responsável por mais de 60% de todos os certificados SSL ativos na internet.

O que é Let’s Encrypt

Let’s Encrypt é uma Autoridade Certificadora (CA) sem fins lucrativos que emite certificados X.509 gratuitos para servidores web. A missão declarada da organização é encriptar todo o tráfego web por padrão, removendo o custo financeiro como barreira. Antes de Let’s Encrypt, certificados SSL custavam de US$ 50 a US$ 500 por ano. Hoje, qualquer pessoa pode emitir um certificado válido em minutos sem pagar nada.

O modelo é viável porque toda a operação é automatizada via protocolo ACME (Automated Certificate Management Environment), também criado pela ISRG. ACME permite que servidores se comuniquem diretamente com a CA para validar domínio, emitir certificado e renovar automaticamente, sem intervenção humana. O custo operacional cai a quase zero, e o serviço escala para bilhões de domínios.

Os certificados Let’s Encrypt são reconhecidos por todos os navegadores modernos, sistemas operacionais e dispositivos. Não há diferença visível entre um certificado Let’s Encrypt e um certificado pago de outra CA na barra do navegador. O cadeado HTTPS aparece igual, e os algoritmos de criptografia também são os mesmos.

O ssl gratuito wordpress hoje é praticamente sempre Let’s Encrypt por trás. Hospedagens nacionais como Hostinger, Hostgator, Locaweb e KingHost integraram emissão Let’s Encrypt em 1 clique nos painéis administrativos. O usuário sequer percebe que está usando a CA por trás do botão “ativar SSL”.

Como funciona a emissão automática

O fluxo de emissão começa com um cliente ACME instalado no servidor (Certbot é o mais conhecido). O cliente solicita um certificado para o domínio, e Let’s Encrypt responde com um desafio. O desafio mais comum é HTTP-01: o servidor precisa colocar um arquivo específico em um caminho público (/.well-known/acme-challenge/) e a CA verifica se o arquivo aparece com o conteúdo correto.

Validar o desafio prova que o servidor controla o domínio. Se o arquivo aparece, o cliente confirma posse e a CA emite o certificado. Tudo isso acontece automaticamente em segundos. O certificado é instalado no servidor web (Apache ou Nginx) e o site passa a servir HTTPS imediatamente.

Cada certificado tem validade de 90 dias. O prazo curto é intencional: força renovação frequente, o que reduz risco de chave privada vazada continuar válida por anos. A renovação acontece automaticamente, geralmente em torno de 60 dias após a emissão, para deixar margem em caso de falha.

Em janeiro de 2025, Let’s Encrypt anunciou suporte experimental a certificados de 6 dias, alinhado a recomendações de segurança modernas. Adoção é gradual, mas tende a se tornar padrão nos próximos anos. Para administradores, a mudança não muda nada operacionalmente: a renovação continua automatizada, só acontece com mais frequência.

Outros tipos de desafio incluem DNS-01, que valida posse via registro DNS TXT, e TLS-ALPN-01, que valida via extensão de TLS. DNS-01 é útil para emitir certificados wildcard (válidos para *.dominio.com) e para servidores sem porta 80 acessível publicamente. Em sites WordPress padrão, HTTP-01 é o mais usado.

Como instalar Let’s Encrypt no WordPress

O caminho mais comum é via painel da hospedagem. Em cPanel, plesk ou hPanel, há opção “SSL/TLS” ou “Certificados” com botão para ativar SSL gratuito. Um clique, e o sistema solicita certificado, instala e configura redirecionamento HTTP para HTTPS. Em hospedagens compartilhadas brasileiras, é tipicamente assim que SSL é ativado.

Em VPS e servidores dedicados, o caminho é via SSL certificado emitido pelo Certbot. O Certbot é cliente ACME mantido pela EFF, com suporte automatizado a Apache e Nginx. Comando único (“sudo certbot –nginx -d seudominio.com”) detecta a configuração do servidor, emite certificado, edita os arquivos de virtual host e reinicia o serviço com SSL ativo.

Para certbot wordpress especificamente, há ajustes finos opcionais. Forçar redirecionamento de HTTP para HTTPS em todas as URLs do WordPress requer atualização do wp-config.php (define WP_HOME e WP_SITEURL com https://) e configuração no banco (atualizar siteurl e home na tabela wp_options). Plugins como Really Simple SSL automatizam tudo isso em poucos cliques.

Após instalar, vale verificar a qualidade da configuração via SSL Labs Test. O teste avalia versão de TLS aceita, ordem de cipher suites, suporte a HSTS, e atribui nota de A+ a F. Sites WordPress bem configurados costumam atingir A ou A+ sem esforço extra. Notas abaixo de A indicam configuração antiga que precisa de atualização.

Plugins de segurança como AIOS e WordFence acompanham essa configuração e alertam quando o certificado está próximo do vencimento. Em hospedagens onde a renovação automática falha (raro mas acontece), o aviso evita expiração silenciosa e quebra do site para visitantes.

Let’s Encrypt vs SSL pago

A diferença técnica entre Let’s Encrypt e SSL pago é zero. Ambos usam os mesmos algoritmos, ambos são reconhecidos pelos mesmos navegadores, ambos protegem o tráfego com a mesma força criptográfica. Quem diz que “SSL pago é mais seguro” está vendendo, não informando.

A diferença comercial existe. Certificados pagos podem oferecer recursos extras: validação estendida (EV) que mostrava nome da empresa na barra do navegador (descontinuada em 2019), seguros de garantia em caso de fraude, suporte técnico especializado, validação de organização (OV) com checagem documental. Em sites de bancos, e-commerces enterprise e corretoras de valores, esses recursos podem ser exigência regulatória.

Para sites WordPress comuns (blogs, lojas pequenas e médias, sites institucionais), Let’s Encrypt cobre 100% das necessidades técnicas e operacionais. Não há motivo de pagar por certificado em sites onde validação de domínio (DV) é suficiente. A economia se acumula ao longo dos anos: 50 a 500 reais por ano economizados, multiplicados por todos os sites de uma operação.

Em HTTPS e em security headers bem configurados, a operação é uniforme: Let’s Encrypt para SSL básico, headers HSTS para forçar HTTPS, e CSP para evitar conteúdo misto. Esse conjunto cobre o nível de segurança esperado em qualquer site WordPress sério em 2026.

Outras CAs gratuitas existem, como ZeroSSL e Buypass Go. Cada uma tem nuances próprias (volumes mensais permitidos, tipos de certificado, suporte a wildcard). Para a maioria dos casos, Let’s Encrypt continua sendo a escolha padrão por maturidade, integração com painéis e tamanho da rede de validação.

Para sites WordPress que precisam de SSL ativo, configuração de redirecionamento, security headers, firewall WordPress e proteção de login junto, sem configurar ssl free e cada plugin separadamente, a FULL Services entrega o AIOS dentro da stack profissional, com SSL via Let’s Encrypt já ativado, regras de segurança configuradas e monitoramento de certificados embutido. Combinado com a infraestrutura de hospedagem WordPress, o site nasce seguro desde o primeiro dia.