A Sectigo em seu site faz um alerta importante para as empresas que possuem sites, aplicações e servidores internos protegidos pelo protocolo de segurança SSL/TLS
As organizações que ainda estão adotando uma abordagem manual para o gerenciamento de certificados digitais aumentaram o risco de interrupções, violações e adicionalmente terão aumento de custos para gerenciar os cerificados SSL Secure Sockets Layer e como são chamados agora TLS – Transport Layer Security com essa nova janela de validade de apenas 90 dias.
Com as próximas alterações nos períodos de validade do certificado SSL/TLS é necessário que as empresas automatizem o gerenciamento do ciclo de vida do certificado para que tenham total tranquilidade. É o que propõe a empresa global líder em emissões de certificados TLS, Sectigo Certificate Manager.
A tendência de diminuir a vida útil dos certificados é uma previsão do Sectigo desde 2019. Nos últimos anos, o prazo máximo para um certificado TLS público (também chamado de SSL) caiu de três anos para dois para um e, em 3 de março, o Google anunciou em seu roteiro “Moving Forward, Together” a intenção de reduzir a validade máxima para certificados SSL/TLS públicos de 398 dias para 90 dias, em uma futura atualização de política ou uma Proposta de Votação do Fórum CA/B.
Por que você deve agir agora
Este passo em direção a tempos de vida de certificado ainda mais curtos representa uma mudança significativa na forma como as empresas abordarão a confiança digital. A abordagem tradicional de realizar o gerenciamento do ciclo de vida de certificados digitais com planilhas e soluções pontuais isoladas não é mais sustentável. A maioria das empresas possui um grande número de certificados digitais, o que tornará o gerenciamento manual dos certificados de 90 dias uma tarefa tediosa.
De acordo com a última pesquisa da Sectigo, quase metade (47%) das organizações diz usar planilhas, scripts ou ferramentas fornecidas pela Autoridade Certificadora para gerenciar ciclos de vida de certificados digitais. Essa abordagem manual para o gerenciamento de certificados digitais dificulta a visibilidade de todas as identidades digitais e cria uma oportunidade para hackers para explorar.
Monitorar as constantes adições, remoções e modificações em certificados é impossível com uma planilha e é difícil, na melhor das hipóteses, com ferramentas básicas. Apenas 26% dos entrevistados no último estudo da Sectigo classificam a visibilidade de sua organização em todas as identidades digitais gerenciadas como “excelente”.
Para os CISOs e suas equipes, a implicação mais óbvia é como eles abordarão a gestão de certificados digitais com vida útil mais curta. Embora as empresas tecnicamente ainda possam gerenciar certificados digitais com vida útil máxima de 90 dias
Manualmente, a renovação e a implantação manuais se tornarão rapidamente propensas a erros, insustentáveis e podem ter sérias ramificações.
As consequências são reais
1 – Interrupções, interrupções e mais interrupções
O último estudo de pesquisa da Sectigo revelou que 94% dos entrevistados veem os certificados digitais como essenciais para sua segurança organizacional. Com isso em mente, é vital que os CISOs e suas equipes evitem a paralisação, eliminando a dependência de processos manuais de gerenciamento de certificados desatualizados.
2 – Maior risco de violação
Com uma vida útil de certificado mais curta, as organizações precisarão renovar certificados com mais frequência e provavelmente terão cinco ou seis vezes mais ciclos de vida de certificados. Para aqueles que ainda dependem do gerenciamento manual de certificados, o risco de não instalar ou renovar corretamente um certificado digital também aumentará cinco ou seis vezes. Erros com a instalação ou renovação de certificados em escala aumentam enormemente o risco de violação.
3 – UX ruim
Os usuários podem encontrar mensagens de erro ou avisos se tentarem se conectar a um site ou habilitar um processo com um certificado expirado ou inválido. Isso pode ser particularmente problemático para sites de comércio eletrônico, onde os usuários podem abandonar seus carrinhos de compras se encontrarem quaisquer avisos de segurança.
4 – Aumento do custo
A vida útil mais curta dos certificados digitais pode ter implicações financeiras significativas para as empresas. Na realidade, os administradores de sistema caros serão aqueles encarregados manualmente renovação de certificados digitais.
Este é um trabalho demorado que só pode ser realizado com recursos caros. As organizações que estão comprometidas com o gerenciamento manual precisarão investir em recursos adicionais e caros para lidar com o gerenciamento de quantidades crescentes de certificados digitais, com vida útil mais curta.
O Automatic Certificate Management Environment (ACME) é o protocolo de automação preferencial para emissão e gerenciamento de certificados públicos.
O Google destaca o ACME como essencial para a automação dos ciclos de vida dos certificados digitais e apresenta os benefícios da automação no contexto de tempos de vida mais curtos dos certificados.
Isso inclui maior resiliência e agilidade, que podem ajudar as organizações a fazer uma transição mais fácil para algoritmos resistentes a quantum. No entanto, os benefícios da automação não param por aí.
Para quase todas as organizações, o número de certificados digitais que são obrigados a gerenciar continua a crescer rapidamente – isso por si só causou níveis drasticamente maiores de risco. Adicionar vida útil de certificado digital mais curta à mistura servirá apenas para agrava esse problema, trazendo a probabilidade de interrupção ou violação muito mais perto da realidade do dia-a-dia das equipes de TI que trabalham duro.
Embora o momento específico de quando esse máximo de 90 dias entrará em vigor seja desconhecido, é provável que aconteça até o final de 2024.
Sobre a Sectigo
Mais de 20 anos estabelecendo confiança digital
A Sectigo é uma das maiores e mais antigas Autoridades de Certificação (CA) do mundo, com a confiança de mais de 700.000 clientes, incluindo 36% da Fortune 1000. Oferecemos um portfólio líder do setor de certificados digitais e um Certificate Lifecycle Management (CLM) solução que permite às empresas gerenciar certificados públicos e privados emitidos pela Sectigo e outras CAs para proteger todas as identidades humanas e de máquinas a partir de uma única plataforma.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Google propõe redução da validade dos certificados digitais TLS para 90 dias
A Jornada De 10 anos Do Crypto ID: Do Pioneirismo À Referência
Em novembro desse ano completaremos uma década. Desde 2014, construímos uma comunidade apaixonada e engajada, que cresce a cada ano que passa. Atualmente, dois milhões e meio de usuários únicos, por ano, acessam nosso portal e fazem a nossa jornada ser marcada por conquistas, inovação e colaboração.
As empresas mantenedoras têm sido o pilar fundamental para o nosso crescimento contínuo. Esse apoio nos permite manter a qualidade e a relevância das informações que compartilhamos. Agradecemos a cada uma das empresas por acreditar em nossa missão e nos ajudar a construir uma comunidade bem informada e mais segura.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!