O Google divulgou, em 3 de março de 2023, seu roteiro “Moving Forward Together” com a intenção de reduzir a validade máxima do certificado TLS – Transport Layer Security – público de 368 para 90 dias defendendo que essa ação vai mitigar o risco de comprometimento das chaves criptográficas, entre outros benefícios apontados na política do Chrome.
Segundo o Google, a política do Chrome visa: promover infraestruturas modernas e mais ágeis; forçar a automação da gestão dos certificados TLS; reduzir emissões incorretas de certificados digitais TLS; aumentar a responsabilidade e a integridade do ecossistema; implantar processos mais simples, inclusive as práticas de validação de domínio e, por fim, preparar as estruturas web para o mundo “pós-quântico”.
Como um dos membros do CA/B Fórum, o Google submeteu sua proposta para votação da associação internacional. Porém, nas entrelinhas, o Google deixou claro que, se o CA/B Fórum não aprovar, mesmo assim, eles estarão preparados para forçar, unilateralmente, essa mudança tornando-a padrão e, com isso, todas as Autoridades de Certificação (CA) públicas e comerciais precisariam seguir para ter interoperabilidade com o navegador Chrome que detém cerca de 70% do tráfego da internet.
Diante disso, o CA/B Fórum, órgão internacional que reúne Autoridades Certificadoras e fornecedores de navegadores web em torno de uma autorregulamentação e definição de requisitos técnicos, estuda acompanhar a política sugerida pelo Google que inclui os períodos de validade do certificado de 90 dias. Oficialmente, não há nenhuma declaração sobre o início da aplicação da nova política, muito embora algumas ACs internacionais tenham declarado o início previsto para setembro de 2023.
Procuramos então a CertiSign que é, historicamente, uma das maiores emissoras de certificados digitais TLS da América Latina para esclarecer alguns pontos e então conversamos com Marco Americo D. Antonio, CEO da empresa
Crypto ID: Marco, a primeira grande questão é: o CA/B Fórum confirma a data de setembro de 2023 para o início da nova política que reduz o ciclo de vida para o protocolo TLS – Transport Layer Security para 90 dias?
Marco Américo: Até o momento não vi nenhuma nota oficial do CA/B Fórum sobre a mudança do período de validade dos certificados SSL/TLS.
Crypto ID: A tendência para ciclos de vida de certificados mais curtos não é nova, nem é liderada exclusivamente pelo Google. Muitas outras empresas defendem essa tese. Quais são os benefícios que períodos mais curtos de validade dos TLS agregam ao ecossistema da internet? Prazos de validade mais curtos aumentam a segurança das chaves criptográficas?
Marco Américo: São vários os benefícios, mas o mais significante é a agilidade nas atualizações tecnológicas do ecossistema dos certificados SSL, promovendo mais segurança para todos.
Prazos mais curtos permitem uma adoção mais rápida de recursos e práticas recomendadas de segurança, além de proporcionar a agilidade necessária para fazer a transição rápida do ecossistema para algoritmos resistentes a computação quântica.
Sobre as chaves, os prazos mais curtos também permitem a atualização mais rápida de algoritmos criptográficos, evitando que fiquem obsoletos. Um exemplo prático foi a mudança do algoritmo SHA1 para SHA2, que demorou anos para acontecer, pois todos os proprietários só atualizavam seus certificados quando eles perdiam a validade.
Crypto ID: Bem, então podemos dizer que faz sentido essa proposição do Google, mas o que a redução do prazo atual de expiração de um ano – 368 dias para ser mais precisa – para 90 dias pode impactar às empresas? Você acredita que as empresas estão preparadas para essa realidade?
Marco Américo: Se a mudança ocorrer, eu acredito que o controle manual das validades, em planilhas/notificações, se tornará obsoleto, gerando a necessidade de automação para que, de fato, os benefícios do prazo de validade curto sejam usufruídos. Porque não adianta ter SSL/TLS com prazos mais curtos, sem agilidade na programação da renovação. Sem a automação, a medida de prazos mais curtos tende a trazer indisponibilidade.
Crypto ID: Perfeito, a grande questão ou impacto para as empresas vai girar em torno da administração dos certificados para que as empresas não corram o risco de seus certificados expirarem. A CertiSign já disponibiliza o console de MPKI para TLS, que é um centro de controle dos certificados. Você pode nos falar um pouco sobre essa solução e como ela poderá ajudar as empresas diante dessa nova política?
Marco Américo: O gerenciamento do ciclo de vida de certificados sempre se fez necessário, antes mesmo de uma possível redução no prazo de validade. A indisponibilidade de sites já acontece e causa prejuízos.
Pesquisas mostram que uma interrupção de certificado ou falha de auditoria gera uma perda de mais de US$ 10 milhões às empresas, e cada violação de dados custa em média US$ 9,4 milhões. Esse cenário também tem consequências na retenção de clientes. No relatório DigiCert 2022 – State of Digital Trust, vemos que 47% dos entrevistados disseram que mudaram de fornecedor devido a quebra de confiança.
Nós temos solução para o gerenciamento de ciclo de vida de certificados. Nossa nova MPKI, CertCentral, permite o gerenciamento de certificados digitais SSL/TLS de múltiplas organizações ou unidades empresariais; envia alertas automáticos sobre o vencimento dos certificados digitais; emite instantaneamente certificados digitais em domínios pré-aprovados; gera relatórios detalhados e trilhas de auditoria; oferece administração e acesso com base na segregação de função. Tudo isso de maneira centralizada.
Em resumo, em nossa MPKI é possível inspecionar, solicitar, validar, emitir, revogar e renovar, reduzindo custos e a complexidade da administração.
Crypto ID: A MPKI para TLS é disponibilizada a partir de quantos certificados?
Marco Américo: A automatização da renovação do certificado SSL/TLS é importante para todas as empresas e, em qualquer situação, seja validade mais curta ou estendida. Nossa MPKI está disponível para empresas de todos os portes, e para mais informações basta enviar um e-mail para comercial@certisign.com.br.
Crypto ID: Qual é a relação entre MPKI CertiSign e ACME – Ambiente de Gerenciamento Automático de Certificados?
Marco Américo: ACME é um protocolo definido pelo IETF (RFC8555) para automatizar o processo de solicitação de certificados SSL/TLS, emissão e instalação, permitindo a realização destes processos de forma mais rápida. Já a MPKI é uma plataforma que pode funcionar com esse protocolo, permitindo a automatização do ciclo de vida dos certificados.
Crypto ID: A redução de prazo de validade trará novos encargos para as empresas compradoras em relação a gestão dos certificados e para as Autoridades Certificadoras com o possível aumento de atendimento e suporte e reflexo em outras áreas. O custo de emissão do certificado TLS poderá aumentar?
Marco Américo: Hoje, nós já temos ofertas de MPKI para empresas de todos os portes, e nosso objetivo é levar a importância da automatização do ciclo de vida dos certificados, independentemente do prazo de validade. A automatizaçãoção é maneira mais segura de garantir disponibilidade de sites.
Crypto ID: O eventual aumento de custos não poderia induzir as empresas a fazer um downgrade do tipo de certificado ou adquirir os certificados gratuitos? Isso poderá se refletir numa redução de confiança na internet?
Marco Américo: Nós acreditamos que não seja uma questão de aumento de custo ou redução de confiança na internet. O momento é propício para que as empresas, independentemente, da validade curta ou estendida invistam na automação da gestão do ciclo de vida dos certificados SSL/TLS. Isso, sim, tem impacto na segurança e confiança na internet.
Crypto ID: Uma das defesas do Google para a redução da vida útil dos certificados é a preparação do ecossistema para o mundo pós-quântico. Você poderia comentar essa questão?
Marco Américo: Como já comentado, uma possível redução do período de validade proporcionará agilidade na mudança de algoritmos criptográficos. A implementação de novos algoritmos fortes será muito mais rápida o que permitirá estarmos mais preparados para a computação quântica.
Crypto ID: Podemos imaginar que no futuro a vida útil de uma chave de criptografia poderá ter períodos cada vez menores? Dias ou horas?
Marco Américo: Eu acredito que sim, mas vai depender da necessidade do uso deste certificado. Imagino a seguinte situação: uma campanha de marketing de 5 dias na qual é utilizada uma landing page com SSL. Esse SSL teria a validade igual ao da campanha.
Crypto ID: Os registros de domínio são anuais e não a cada 90 dias. Como funcionaria essa diferença? Você acredita na mudança da política do ICANN? Ou essa falta de sincronismo é irrelevante?
Marco Américo: São assuntos distintos. Quando ocorreram as mudanças do período de validade dos certificados SSL de três para dois anos e, recentemente, para um ano, o período de renovação dos registros de domínios não mudaram. Por esse motivo acredito que, caso essa mudança de validade se confirme, não afetará a questão dos registros de domínios. Mas quem pode responder melhor sobre esse assunto é o próprio ICANN.
Crypto ID: Para finalizar, já foi mencionado pelo CA/B Fórum como será na prática o sistema de validação? A validação de um domínio poderá ser aproveitada para a remissão de uma chave? Ou a cada emissão será feita uma nova validação?
Marco Américo: O CA/B Fórum ainda não se pronunciou com relação a esse assunto.
Crypto ID: Marco Américo, agradecemos muito sua disponibilidade em falar sobre o assunto e tão logo haja o posicionamento oficial por parte do CA/B Fórum, quem sabe faremos uma nova rodada.
Marco Américo: Estamos sempre à disposição.
Sobre a CertiSign
A CertiSign é uma Autoridade Certificadora no Brasil especialista em identificação e segurança digital. Desde 1996, desenvolve e integra soluções que proporcionam uma experiência digital simples e segura, oferecendo às pessoas mais tempo e liberdade, e às empresas, redução de fraudes e custos.
CertiSign anuncia Diego Martins como CRO
NF-e ajuda a eliminar o uso de mais de 148 bilhões de folhas de papel nos últimos 17 anos
Marco Americo D. Antonio é o novo CEO da CertiSign
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!