Desde o ano passado, um debate ativo acontece entre autoridades certificadoras e navegadores sobre o prazo ideal de validade dos certificados SSL/TLS. As discussões se tornaram bastante intensas.
Por Lila Kee, General Manager for GlobalSign’s North and South American Operations
Por fim, resultou com o voto contra das autoridades de certificação (inclusive GlobalSign) – na votação do Google em setembro do ano passado em reduzir a validade máxima a um único ano no fórum do CAB.
A redução gradual na validade do certificado ocorre há quase uma década. Afinal, a tempos atrás eles eram válidos por até dez anos (parece difícil de acreditar, não é?) Em 2011, com as preocupações de segurança aumentando, a validade foi reduzida para cinco anos. Em 2018, os navegadores impuseram um limite de dois anos.
Agora, em uma jogada surpresa, na última reunião do fórum CAB em Bratislava, Eslováquia, a Apple anunciou sua intenção de restringir a validade SSL / TLS a apenas 398 dias no Safari (aproximadamente um ano e um mês para melhor facilitar as renovações).
Desde que o anúncio da Apple foi feito, a comunidade de TI em geral discutiu essa decisão e qual será o impacto. Vou discorrer sobre todos os pontos aqui.
Raciocínio da Apple
A iniciativa da Apple tem como objetivo melhorar a segurança, garantindo que os desenvolvedores usem certificados com os mais recentes padrões criptográficos. Além disso, também provocar uma redução no número de certificados mais antigos e talvez até esquecidos. Obviamente, esses problemas podem representar um enorme problema, pois podem ser utilizados para phishing e outros ataques.
A realidade é que o impacto dessa decisão não atingirá os consumidores até o dia 1º de setembro de 2020. Portanto, as empresas têm tempo para se preparar. Mas, a partir desse ponto, qualquer certificado SSL / TLS emitido não poderá ter validade superior a 398 dias – caso contrário, será desconfiado pelos sistemas Mac OS e iOS da Apple, o que acarreta todos os usuários do Safari. Além disso, considerando os desejos anteriormente declarados em reduzir a validade do certificado, Google e Mozilla também seguirão adiante com essa alteração e provavelmente cumprirão os mesmos prazos.
O que isso significa para você é que, a partir de 1º de setembro, não há efetivamente nenhuma opção de certificado de dois anos se você deseja que seu site funcione para usuários da Apple. Você também precisará substituir ou renovar os certificados com mais frequência do que no passado.
Lado positivo, você não precisará se esforçar para obter um novo certificado antes de 1º de setembro. Os certificados SSL / TLS que foram emitidos hoje permanecerão válidos até o prazo de validade. Na próxima renovação, você precisará emitir certificado de um ano.
Portanto, não se deixe levar por ninguém que peça para você substituir seu certificado agora. É pura propaganda.
Os navegadores, especialmente Chrome e Mozilla, afirmam há muito tempo que preferem períodos de validade mais curtos para certificados publicamente confiáveis. Validade mais curta de certificado, em teoria, significa segurança aprimorada em termos de exposição reduzida à ameaças de comprometimento de chave privada e verificação de identidade mais frequente em casos de alterações na identidade SSL – como nome da organização, endereços e domínios ativos.
Por que a votação anterior no fórum do CAB falhou?
A última votação falhou devido a vários fatores. A GlobalSign, juntamente com várias outras CAs, foram conversar com seus clientes e receber seus comentários. E a resposta foi unânime em todas as CAs. Sejam empresas de nível empresarial, pequenas e médias empresas, o desejo pela redução no prazo de validação não existia. Os principais fatores são falta de tempo, orçamento e pessoal suficiente para gerenciar a transição.
A votação do Google procurou implementar a mudança até 1º de abril, menos de seis meses a partir da data da votação, o que não era suficiente. Portanto, foi feito um pedido para definir um prazo de 12 a 18 meses, dando a todos tempo suficiente para se preparar para as alterações. Parece que a Apple decidiu dividir a diferença e determinou que a mudança ocorreria em setembro.
Qual o impacto a longo prazo?
Como todas as autoridades certificadoras, procuramos ativamente melhorar a Internet e torná-la um local mais seguro para socializar e fazer negócios.
A validade mais curta pode ser melhor para a segurança, porem as autoridades de certificação ainda esperem que os navegadores forneçam uma lista concreta dos problemas de segurança e da gravidade do uso de certificados de dois anos. Porque não está claro para muitos de nós. Com uma análise de segurança adequada das vulnerabilidades dos certificados de dois anos e um cronograma mais razoável para essas alterações, a maioria provavelmente apoiaria a migração para certificados de um ano. Mas, enquanto os navegadores têm um foco específico que é pertinente ao que fazem – como CAs, também temos um. E, precisamos garantir que nossos clientes estejam em uma posição ideal para essa mudança. É por isso que trabalhamos em estreita colaboração com qualquer organização que pretenda otimizar e aprimorar o gerenciamento do ciclo de vida dos certificados para se alinhar melhor com as exigências de validade do navegador.
Apesar da maneira pouco ortodoxa em que essa iniciativa foi introduzida, a comunidade de certificados planeja continuar guiando a Web em direção a uma maior automação e soluções mais ágeis para o gerenciamento de certificados.
Apple não aceitará certificados HTTPS de longa duração
GlobalSign lança uma plataforma de identidades para IoT
senhasegura libera novo recurso de segurança baseada em infraestrutura de chave pública, PKI