diff --git a/.forgejo/workflows/deploy.yaml b/.forgejo/workflows/deploy.yaml
index de0968b..22b77ca 100644
--- a/.forgejo/workflows/deploy.yaml
+++ b/.forgejo/workflows/deploy.yaml
@@ -67,25 +67,67 @@ jobs:
 
           # Injeta variáveis (Lembre-se de mudar DATABASE_URL para sslmode=disable no Forgejo!)
           kubectl delete secret backend-secrets -n gohorsejobsdev --ignore-not-found
-          kubectl create secret generic backend-secrets -n gohorsejobsdev \
-            --from-literal=MTU="${{ vars.MTU }}" \
-            --from-literal=DATABASE_URL="${{ vars.DATABASE_URL }}" \
-            --from-literal=AMQP_URL="${{ vars.AMQP_URL }}" \
-            --from-literal=JWT_SECRET="${{ vars.JWT_SECRET }}" \
-            --from-literal=JWT_EXPIRATION="${{ vars.JWT_EXPIRATION }}" \
-            --from-literal=PASSWORD_PEPPER="${{ vars.PASSWORD_PEPPER }}" \
-            --from-literal=COOKIE_SECRET="${{ vars.COOKIE_SECRET }}" \
-            --from-literal=COOKIE_DOMAIN="${{ vars.COOKIE_DOMAIN }}" \
-            --from-literal=BACKEND_PORT="${{ vars.BACKEND_PORT }}" \
-            --from-literal=BACKEND_HOST="${{ vars.BACKEND_HOST }}" \
-            --from-literal=ENV="${{ vars.ENV }}" \
-            --from-literal=CORS_ORIGINS="${{ vars.CORS_ORIGINS }}" \
-            --from-literal=S3_BUCKET="${{ vars.S3_BUCKET }}" \
-            --from-literal=AWS_REGION="${{ vars.AWS_REGION }}" \
-            --from-literal=AWS_ENDPOINT="${{ vars.AWS_ENDPOINT }}" \
-            --from-literal=AWS_ACCESS_KEY_ID="${{ vars.AWS_ACCESS_KEY_ID }}" \
-            --from-literal=AWS_SECRET_ACCESS_KEY="${{ vars.AWS_SECRET_ACCESS_KEY }}" \
-            --from-literal=RSA_PRIVATE_KEY_BASE64="${{ vars.RSA_PRIVATE_KEY_BASE64 }}"
+
+          # Prepare RSA key file if available (prefer secrets over vars)
+          if [ -n "${{ secrets.RSA_PRIVATE_KEY_BASE64 }}" ]; then
+            echo "Decoding RSA_PRIVATE_KEY_BASE64 from secrets"
+            printf '%b' "${{ secrets.RSA_PRIVATE_KEY_BASE64 }}" > /tmp/rsa_key.pem || true
+            # if it's base64-encoded PEM, decode it
+            if base64 -d /tmp/rsa_key.pem >/dev/null 2>&1; then
+              base64 -d /tmp/rsa_key.pem > /tmp/rsa_key_decoded.pem && mv /tmp/rsa_key_decoded.pem /tmp/rsa_key.pem || true
+            fi
+          elif [ -n "${{ vars.RSA_PRIVATE_KEY_BASE64 }}" ]; then
+            echo "Decoding RSA_PRIVATE_KEY_BASE64 from vars"
+            printf '%b' "${{ vars.RSA_PRIVATE_KEY_BASE64 }}" > /tmp/rsa_key.pem || true
+            if base64 -d /tmp/rsa_key.pem >/dev/null 2>&1; then
+              base64 -d /tmp/rsa_key.pem > /tmp/rsa_key_decoded.pem && mv /tmp/rsa_key_decoded.pem /tmp/rsa_key.pem || true
+            fi
+          fi
+
+          # Create secret: if rsa file exists, create secret from file (robust); otherwise fallback to from-literal
+          if [ -f /tmp/rsa_key.pem ]; then
+            kubectl create secret generic backend-secrets -n gohorsejobsdev \
+              --from-literal=MTU="${{ vars.MTU }}" \
+              --from-literal=DATABASE_URL="${{ vars.DATABASE_URL }}" \
+              --from-literal=AMQP_URL="${{ vars.AMQP_URL }}" \
+              --from-literal=JWT_SECRET="${{ vars.JWT_SECRET }}" \
+              --from-literal=JWT_EXPIRATION="${{ vars.JWT_EXPIRATION }}" \
+              --from-literal=PASSWORD_PEPPER="${{ vars.PASSWORD_PEPPER }}" \
+              --from-literal=COOKIE_SECRET="${{ vars.COOKIE_SECRET }}" \
+              --from-literal=COOKIE_DOMAIN="${{ vars.COOKIE_DOMAIN }}" \
+              --from-literal=BACKEND_PORT="${{ vars.BACKEND_PORT }}" \
+              --from-literal=BACKEND_HOST="${{ vars.BACKEND_HOST }}" \
+              --from-literal=ENV="${{ vars.ENV }}" \
+              --from-literal=CORS_ORIGINS="${{ vars.CORS_ORIGINS }}" \
+              --from-literal=S3_BUCKET="${{ vars.S3_BUCKET }}" \
+              --from-literal=AWS_REGION="${{ vars.AWS_REGION }}" \
+              --from-literal=AWS_ENDPOINT="${{ vars.AWS_ENDPOINT }}" \
+              --from-literal=AWS_ACCESS_KEY_ID="${{ vars.AWS_ACCESS_KEY_ID }}" \
+              --from-literal=AWS_SECRET_ACCESS_KEY="${{ vars.AWS_SECRET_ACCESS_KEY }}" \
+              --from-file=private_key.pem=/tmp/rsa_key.pem \
+              --dry-run=client -o yaml | kubectl apply -f -
+          else
+            kubectl create secret generic backend-secrets -n gohorsejobsdev \
+              --from-literal=MTU="${{ vars.MTU }}" \
+              --from-literal=DATABASE_URL="${{ vars.DATABASE_URL }}" \
+              --from-literal=AMQP_URL="${{ vars.AMQP_URL }}" \
+              --from-literal=JWT_SECRET="${{ vars.JWT_SECRET }}" \
+              --from-literal=JWT_EXPIRATION="${{ vars.JWT_EXPIRATION }}" \
+              --from-literal=PASSWORD_PEPPER="${{ vars.PASSWORD_PEPPER }}" \
+              --from-literal=COOKIE_SECRET="${{ vars.COOKIE_SECRET }}" \
+              --from-literal=COOKIE_DOMAIN="${{ vars.COOKIE_DOMAIN }}" \
+              --from-literal=BACKEND_PORT="${{ vars.BACKEND_PORT }}" \
+              --from-literal=BACKEND_HOST="${{ vars.BACKEND_HOST }}" \
+              --from-literal=ENV="${{ vars.ENV }}" \
+              --from-literal=CORS_ORIGINS="${{ vars.CORS_ORIGINS }}" \
+              --from-literal=S3_BUCKET="${{ vars.S3_BUCKET }}" \
+              --from-literal=AWS_REGION="${{ vars.AWS_REGION }}" \
+              --from-literal=AWS_ENDPOINT="${{ vars.AWS_ENDPOINT }}" \
+              --from-literal=AWS_ACCESS_KEY_ID="${{ vars.AWS_ACCESS_KEY_ID }}" \
+              --from-literal=AWS_SECRET_ACCESS_KEY="${{ vars.AWS_SECRET_ACCESS_KEY }}" \
+              --from-literal=RSA_PRIVATE_KEY_BASE64="${{ vars.RSA_PRIVATE_KEY_BASE64 }}" \
+              --dry-run=client -o yaml | kubectl apply -f -
+          fi
 
       - name: Deploy to K3s
         run: |