Os **certificados TLS** são **associados com um nome de domínio**, e não a um endereço IP.

Então para renovar os certificados, o programa de renovação precisa **provar** para a autoridade (Let's Encrypt) que ele realmente **possui e controla esse domínio**>

Para fazer isso, e acomodar as necessidades de diferentes aplicações, existem diferentes opções para esse programa. Algumas escolhas populares são:

Para os casos mais simples, você pode utilizar o HTTP Basic Auth.

No HTTP Basic Auth, a aplicação espera um cabeçalho que contém um usuário e uma senha.

Caso ela não receba, ela retorna um erro HTTP 401 "Unauthorized" (*Não Autorizado*).

E retorna um cabeçalho `WWW-Authenticate` com o valor `Basic`, e um parâmetro opcional `realm`.

Isso sinaliza ao navegador para mostrar o prompt integrado para um usuário e senha.

errors.invalid_header_for_request_file=Linha de cabeçalho inválida: {0}
errors.could_not_delete_logged_in_user=Não é possível excluir o usuário logado.
errors.unauthorized_request=Solicitação não autorizada.
errors.failed_to_print_thread_dump=Não foi possível imprimir o despejo de threads.
errors.file_is_not_supported={0} não é suportado.
errors.plugin_file_is_not_found={0} não encontrado.

Después de una semana, el token estará expirado y el usuario no estará autorizado y tendrá que iniciar sesión nuevamente para obtener un nuevo token. Y si el usuario (o un tercero) intenta modificar el token para cambiar la expiración, podrás descubrirlo, porque las firmas no coincidirían.

errors.invalid_header_for_request_file=Línea de encabezado no válida: {0}
errors.could_not_delete_logged_in_user=No se puede eliminar el usuario que ha iniciado sesión.
errors.unauthorized_request=Solicitud no autorizada.
errors.failed_to_print_thread_dump=No se pudo imprimir el volcado de hilos.
errors.file_is_not_supported={0} no es compatible.
errors.plugin_file_is_not_found={0} no encontrado.

Los **certificados TLS** están **asociados con un nombre de dominio**, no con una dirección IP.

Entonces, para renovar los certificados, el programa de renovación necesita **probar** a la autoridad (Let's Encrypt) que de hecho **"posee" y controla ese dominio**.

Para hacer eso, y para acomodar diferentes necesidades de aplicaciones, hay varias formas en que puede hacerlo. Algunas formas populares son:

Depois de uma semana, o token expirará e o usuário não estará autorizado, precisando fazer login novamente para obter um novo token. E se o usuário (ou uma terceira parte) tentar modificar o token para alterar a expiração, você seria capaz de descobrir isso, pois as assinaturas não iriam corresponder.