O Safari, no final deste ano, não aceitará mais novos certificados HTTPS que expiram mais de 13 meses após a data de criação.
Por Adriano Frare
Isso significa que sites que usam certificados SSL / TLS de longa duração emitidos após o ponto de corte geram erros de privacidade no navegador da Apple.
A política foi revelada pelo iGiant em uma reunião do CA / Browser (CA) na quarta-feira.
Especificamente, de acordo com os presentes no confab, a partir de 1º de setembro, qualquer novo certificado de site válido por mais de 398 dias não será confiável pelo navegador Safari e será rejeitado.
Certificados mais antigos, emitidos antes do prazo final, não são afetados por esta regra.
Ao implementar a política no Safari, a Apple aplicará, por extensão, em todos os dispositivos iOS e macOS.
Isso pressionará os administradores e desenvolvedores de sites a garantir que seus documentos atendam aos requisitos da Apple – ou o risco de quebrar páginas em um bilhão de dispositivos e computadores.
Os certificados emitidos nessa data com prazo superior a 398 dias serão desconfiados nos produtos Apple.
Tim Callan, membro sênior da empresa de gerenciamento de PKI e SSL Sectigo, que participou da reunião desta semana na Eslováquia, disse ao The Register:
“Esta semana a Apple anunciou no 49° CA / Browser Forum cara a cara que limitará o prazo de certificados TLS aceitos para 398 dias a partir de 1º de setembro de 2020. Os certificados emitidos nessa data com prazo além de 398 dias não serão confiáveis nos produtos da Apple“.
“Os certificados emitidos antes de 1º de setembro terão a mesma duração aceitável que os certificados atuais, que são 825 dias. Nenhuma ação é necessária para esses certificados.”
O tempo de vida útil do certificado foi medido pela Apple, Google e outros membros da CA / Browser por meses.
A política tem seus benefícios e desvantagens.
O objetivo da mudança é melhorar a segurança do site, certificando-se de que os desenvolvedores usem certs com os mais recentes padrões criptográficos e reduzir o número de certificados antigos e negligenciados que podem ser roubados e reutilizados para ataques de phishing e malware de drive-by.
Se fraudadores conseguirem quebrar a criptografia em um padrão SSL / TLS, os certificados de curta duração garantirão que as pessoas migrem para certificados mais seguros em aproximadamente um ano.
A redução da vida útil dos certificados vem com algumas desvantagens.
Observou-se que, ao aumentar a frequência de substituições de certificados, a Apple e outras empresas também estão tornando a vida um pouco mais complicada para os proprietários de sites e empresas que precisam gerenciar os certificados e a conformidade.
Observamos o Let’s Encrypt emite certificados HTTPS gratuitos que expiram após 90 dias e fornece ferramentas para automatizar renovações.
O GitHub.com usa um certificado de dois anos, que infringiria as regras da Apple, apesar de ter sido emitido antes do prazo final. No entanto, ele deve ser renovado até junho, então há muitas oportunidades para resolver isso.
O site da Apple possui um certificado HTTPS de um ano que precisa ser renovado em outubro.
A Microsoft é interessante: o certificado da pontocom é um caso de dois anos, que expira em outubro. Se Redmond o renovar por mais dois anos, tropeçará na política do Safari.
O certificado digital com menor duração tende a diminuir o risco de comprometimento de sua chave privada, garantindo maior segurança as empresas e suas marcas. Porém, implica num maior trabalho na operacionalização das equipes de TI em renovar anualmente todos os certificados de sua instituição.
Vamos aguardar o desenrolar desta ação realizada pela APPLE.
Certificado digital e a importância da lista de revogação. Por Adriano Frare
Os desafios de segurança no IoT. Por Adriano Frare
10 ferramentas online para testar SSL, TLS e vulnerabilidades
Quer confirmar o local onde pretende fazer a validação do certificado digital ICP-Brasil?
LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL