O Google está propondo reduzir a vida útil dos certificados digitais usados para proteger sites e outras comunicações online para apenas 90 dias. Atualmente, os certificados públicos TLS – Transport Layer Security também conhecido como SSL – Secure Sockets Layer, seu nome anterior, têm validade máxima de 13 meses ou 398 dias.
As autoridades de certificação emitem certificados TLS com uma determinada data de validade.
Por questão de segurança das chaves a vida útil desses certificados tem diminuído nos últimos anos. Há alguns anos poderiam ser emitidos em até 3 anos, mas por questões de segurança das chaves criptográficas esse tempo de validade foi sendo reduzido já que a troca das chaves feita com frequência torna mais difícil para hackers utilizarem certificados fraudulentos.
Moving Forward, Together
No roteiro “Moving Forward, Together” – Avançar, Juntos – do Projeto Chromium, o Google sugeriu que a alteração para 90 dias poderia ser feita na forma de uma atualização de política futura ou como uma proposta de votação do Fórum CA/B.
Se o CA/Browser Forum — um consórcio de fabricantes de navegadores, autoridades de certificação e outras partes interessadas no ecossistema de certificados digitais — não tornar formalmente 90 dias o padrão do setor, o Google poderá forçar unilateralmente essa mudança no setor, tornando a validade mais curta um requisito para o programa raiz do Chrome.
Os navegadores controlam seus próprios requisitos de programa raiz, portanto, os fabricantes de navegadores não precisam esperar por mudanças formais nas regras do CA/Browser Forum.
Em virtude da participação de mercado do Chrome, se o Google fizer essa alteração para o Chrome, que o torna um padrão de fato, todas as autoridades de certificadoras públicas comerciais teriam que seguir.
O impacto vai além dos membros do CA/Browser Forum – fabricantes de navegadores e autoridades certificadoras – porque as organizações precisarão renovar seus certificados digitais com mais frequência.
O processo, se for feito manualmente, pode ser complicado porque envolve a identificação de certificados prestes a expirar, a emissão de novos, a revogação dos antigos e a implantação de novos certificados.
Com o novo período de validade, as equipes de segurança de TI terão que lidar com renovações quatro vezes ao ano para cada certificado – uma tarefa árdua, considerando que a maioria das empresas possui muitos certificados e esse número está crescendo rapidamente.
O Google não forneceu um cronograma específico em seu roteiro, mas com base em como as mudanças ocorreram no passado, o novo período de validade provavelmente entrará em vigor no final de 2024, o que dá às organizações tempo para obter visibilidade e controle sobre suas chaves e certificados.
Dyego Vale, Head de Vendas Cyber Security da e-Safer LATAM e Head de Operações da Trustcert, empresa especializada na emissão e distribuição de TLS que a validade atual de 398 dias na realidade é uma “etapa intermediária” uma vez que a redução da vida útil dos certificados TLS já é idealizada pelos fabricantes de navegadores e autoridades certificadoras há alguns anos visando mitigar os riscos de comprometimento das chaves criptográficas”.
“Acredito que a maioria da indústria queira os 90 dias, mas minha aposta é que haverá um cronograma com redução do período de validade de forma gradual. De 398 dias para nove meses, seguido por um limite de seis meses, antes de chegar aos 90 dias.”
Segundo Vale, os membros do CA/Browser Forum sempre tem a preocupação de causar o menor ruído possível para as empresas que utilizam os certificados TLS.
Muitas empresas ao redor do mundo fazem a gestão não de um certificado TLS que deverá ser tratado quatro vezes por ano se aprovado os 90 dias, mas de dezenas, centenas ou milhares de certificados digitais. Empresas como bancos, as do setor de varejo e fabricantes com presença global são os segmentos que administram um volume enorme de certificados.
Este passo em direção a drástica redução da validade dos certificados digitais representará uma mudança significativa na forma como as empresas abordarão a gestão dos certificados daqui em diante.
“Por incrível que possa parecer, grandes empresas ainda utilizam planilhas para realizarem o gerenciamento do ciclo de vida de certificados digitais TLS/SSL e com a redução do tempo de ciclo de vida será inviável fazer a gestão sem auxílio de uma ferramenta adequada. Alguns fornecedores de TLS/SSL, como nós da Trustcert, já temos consoles inteligentes de gerenciamento de certificados e não será necessário nenhum desenvolvimento adicional da nossa parte. Da mesma forma, as organizações nossas clientes não terão nenhum impacto com as alterações dos períodos de validade,” conclui Dyego Vale.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
