Certificados SSL facilitam a criptografia de dados em trânsito, quando ele para seu site pode ficar praticamente inacessível
Por Patrick Nohe
Tradução livre do artigo original
Vamos começar respondendo à pergunta que colocamos e depois nos aprofundaremos em algumas das minúcias.
Ao instalar um certificado SSL no servidor do seu site, ele permite que você crie conexões – HTTPS – seguras e criptografadas entre seu site e seus visitantes. Isso protege a comunicação e também autentica o servidor.
Certificados SSL não são válidos para sempre. Eles expiram!
Existe um fórum do setor, o Certificate Authority / Browser Forum, que serve como um órgão regulador de fato para o setor de SSL / TLS.
O CAB Forum dita os requisitos de linha de base que as autoridades de certificação devem seguir para emitir certificados SSL confiáveis. Esses requisitos determinam que os certificados SSL podem ter uma duração de até 27 meses .
Isso significa que todo site precisa renovar ou substituir seu certificado SSL pelo menos uma vez a cada dois anos. Então, o que acontece quando o seu certificado SSL expira? Isso torna seu site praticamente inacessível.
Quando o navegador de um usuário chega ao seu site, ele verifica a validade do certificado SSL em milissegundos (faz um handshake SSL). Se o certificado expirar, ele emitirá um aviso como este:
Você não precisa que eu lhe diga que esta mensagem é essencialmente uma sentença de morte para o tráfego do seu site. Seja em relação a vendas ou qualquer outra métrica que você valorize.
Enquanto a maioria dos navegadores oferece uma opção para clicar no aviso, quase ninguém o faz.
O usuário médio da Internet pode não saber muito sobre segurança cibernética, mas eles sabem duas coisas: os computadores são caros e o Malware bagunça os computadores. Então, se o navegador deles disser que um site não é seguro ou, nesse caso, que a conexão deles não é segura, provavelmente eles vão prestar atenção a esse aviso.
Por que os certificados SSL expiram?
Este é um tópico que discutimos bastante no passado, mas aqui está um breve resumo.
Como mencionamos anteriormente, os certificados SSL ajudam a facilitar duas coisas: criptografia e autenticação. Este último é o maior culpado pela expiração do certificado. Todos os certificados SSL autenticam algo, até mesmo os certificados de validação de domínio autenticam um servidor. Como acontece com qualquer forma de autenticação, você ocasionalmente precisa revalidar as informações que está usando para garantir que sejam precisas.
Isso é especialmente verdade na internet. As coisas mudam o tempo todo. Sites mudam de mãos. Empresas são compradas e vendidas. E o SSL / TLS é baseado em um modelo de confiança que pode ser prejudicado por isso. Sendo assim, é importante que as Autoridades de Certificação que estão emitindo certificados confiáveis garantam que as informações que estão usando para autenticar servidores e organizações sejam as mais atualizadas e precisas possíveis.
Vamos ver um exemplo prático. A Circuit City era uma varejista de eletrônicos e eletrodomésticos que faliu há uma década. Agora, imagine por um momento que os certificados SSL não expiraram. Os ativos da Circuit City foram todos vendidos ou descartados, e se alguém pegar o certificado e o domínio para o qual foi emitido. Agora eles estão livres para fazer o que quiserem com esse domínio (até que o certificado seja revogado, mas isso é uma bagunça completamente separada) e o navegador de todos verá esse site como o artigo legítimo. Alguém que não sabia que a empresa estava agora extinta poderia facilmente ser enganado. Afinal, o certificado seria legítimo.
Isso não pode acontecer. Se houver alguma coisa, espere que o tempo de vida do certificado fique mais curto.
Os certificados SSL já tiveram validade até cinco anos. Então foi reduzido para três. Então, no ano passado, caiu para dois e no futuro, a validade do certificado pode ser de apenas 3-6 meses.
A autenticação não é o único culpado pela expiração do certificado. Ter períodos de validade de certificado mais curtos também torna mais fácil para o setor implementar mudanças mais rapidamente.
Por exemplo, há alguns anos, a indústria de SSL / TLS preteriu o uso de SHA-1 como um algoritmo de hashing. Como qualquer um que já tenha solicitado um certificado SSL sabe, você escolhe o algoritmo de hash durante a geração. Com validade de três anos, em alguns casos, você pode ter que esperar até 39 meses após o prazo antes que o certificado expire e o SHA-1 seja suspenso por esse site.
Prazos de validade curtos corrigem isso. Se fôssemos eliminar o SHA-2 a favor do SHA-3 (não se preocupe, isso não acontecerá tão cedo) você poderia definir uma data limite para a emissão de certificados SHA-2 e dentro de 27 (ou 15 se for reduzido para um ano ) meses, o SHA-2 seria completamente obsoleto.
Expirações do certificado SSL de alto perfil
Se você acidentalmente se esquecer de renovar na data correta e deixar seu certificado SSL expirar, você pode se consolar sabendo que não está sozinho. Abaixo, manteremos uma lista em execução de expirações SSL de alto perfil:
Alguns exemplos de como um certificado SSL vencido por causar problemas
A Equifax teria descoberto o ataque que comprometia as informações pessoais de milhões de pessoas muito mais cedo, se não fosse por um certificado digital expirado. Durante dez meses, após a expiração do certificado, a Equifax não inspecionou o tráfego que passava pela sua própria rede.
Recentemente, a Cisco teve um problema que superou a expiração regular do certificado SSL – a Cisco tinha uma expiração de raiz. Como discutimos há alguns dias, os certificados Roots são parte integrante do modelo de confiança SSL / TLS.
Os certificados raiz são usados para assinar e emitir certificados SSL de intermediários e usuários finais. Neste caso, a raiz foi anexada a uma das VPNs da Cisco, o que significa que todos os certificados emitidos para os usuários finais também trastornaram-se inválidos. O problema foi resolvido no APEC-EM Release 1.6.3.
Pokemon Go permite que seu certificado SSL expire
A Niantic parece estar tendo um pouco de ressurgimento com o Pokemon Go, mas em janeiro de 2018 o jogo estava se deparando com bugs de quebra de jogos e uma série de outros problemas – um dos quais foi a expiração de um dos seus certificados SSL. A interrupção foi curta, durando apenas meia hora, mas era mais ovo no rosto de Niantic na época.
LinkedIn deixa seu certificado SSL expirar
No início de dezembro de 2017, o LinkedIn permitiu que um de seus certificados SSL expirasse. Isso derrubou sites do LinkedIn nos EUA, no Reino Unido e no Canadá. Como o vice-presidente da Venafi, Kevin Bocek disse na época:
“O erro do LinkedIn demonstra por que manter o controle de certificados é tão importante.”
Como evitar que o seu certificado SSL expire
Empresas privadas têm um conjunto diferente de problemas quando se trata de gerenciamento de certificados. Considerando que as pequenas e médias empresas podem ter apenas um ou um punhado de certificados, as empresas de grande porte têm muitas redes, uma miríade de dispositivos conectados e muito mais superfície para cobrir em geral.
No nível empresarial, permitir que um certificado SSL expire é geralmente o resultado de supervisão, não incompetência.
Trabalhamos com muitas empresas corporativas para enfrentar esses desafios.
Aqui estão algumas dicas úteis sobre como evitar a expiração do certificado.
- Seja qual for o serviço de CA ou SSL do qual você obteve seus certificados SSL, você receberá notificações de expiração em intervalos definidos, a partir de 90 dias. Certifique-se de definir esses lembretes para serem enviados para uma lista de distribuição e não apenas para um único indivíduo. O ponto de contato usado ao obter o certificado emitido pode não estar disponível até o vencimento. Talvez tenham se mudado, sido promovidos ou simplesmente bebido demais na festa de Natal do escritório e ficado enlatado – seja qual for o caso, você precisa ter certeza de que as notificações estão chegando às pessoas certas.
- Identifique aos canais apropriados para encaminhar lembretes à medida que a data de expiração se aproxima. Por exemplo, aos 90 dias, talvez você queira apenas que a notificação seja enviada para sua lista de distribuição. Aos 60 dias, você o envia para sua lista e para o administrador do sistema. Aos 30 dias você envia para a lista e para o administrador do sistema, e agora o seu Gerente de TI entra em loop.
- Encontre uma boa plataforma de gerenciamento de certificados. Um dos maiores desafios enfrentados pelas empresas é a visibilidade. Você não pode substituir os certificados expirados se não puder vê-los. Tentamos nos manter independentes do fornecedor, mas o DigiCert, o Comodo e o Venafi têm plataformas incríveis que podem ajudar as empresas a ver e gerenciar certificados digitais em toda a sua infraestrutura. Além disso, certifique-se de fazer login regularmente para ficar informado de quando as renovações se aproximam.
- Decida em que CA (s) você deseja trabalhar e, em seguida, configure os registros da CAA para restringir quem pode emitir para seus domínios. Isso ajudará a eliminar a possibilidade de emissão de certificados falsos.
- Falando em certificados falsos, encontre uma boa ferramenta de varredura e use-a regularmente para encontrar e rastrear certificados não autorizados.
Então, é o que acontece quando seu certificado SSL expira
Esquecer de renovar ou substituir um certificado SSL que expira pode acontecer a qualquer um. Mas há muitas ferramentas disponíveis para ajudar a minimizar o risco que isso representa. A chave, como já discutimos, é ter visibilidade e boas linhas de comunicação para que você possa sair antes da expiração.
Eventualmente, as coisas serão automatizadas a ponto de nem precisarmos pensar sobre isso, mas ainda não chegamos lá. Então, fique com a gente um pouco mais.
Patrick Nohe é Editor Chefe da Hashed Out!
Fonte: thesslstore.com
Por meio desse instrumento – Certification Authority Authorization (CAA), sua organização registra pública e mundialmente quais ACs podem emitir SSL|TLS!
[button link=”https://cryptoid.com.br/category/ssl-tls/” icon=”fa-lock” side=”left” target=”” color=”033182″ textcolor=”ffffff”]Conheça nossa coluna sobre TLS e SSL![/button]