Dean Coclin, diretor sênior de desenvolvimento de negócios da Digicert. Foto: divulgação.
É bem provável que você já saiba que os fabricantes de navegadores (Apple, Google e Mozilla) anunciaram que, a partir de 1º de setembro de 2020, os certificados TLS recém-emitidos publicamente são válidos por não mais que 398 dias.
Quem deseja certificados com validade de dois anos precisa comprá-los antes de 1º de setembro. A partir daí a validade será de praticamente um ano. As Autoridades Certificadoras (CA) arão a emitir certificados com validade exata de 397 dias, para que seus usuários tenham pelo menos 24 horas de vantagem antes do vencimento.
No caso de navegadores, a expiração implicará naturalmente em uma mensagem de erro e um reset da conexão com o servidor.
Esta história toda começou com um anúncio da Apple no Fórum CA/B (Fórum Autoridades Certificadoras/Browsers), grupo do setor que se reúne para votar em um conjunto de requisitos básicos para a emissão de certificados digitais confiáveis.
A empresa comunicou que, a partir setembro de 2020, não aceitaria mais certificados de servidor da web TLS publicamente confiáveis válidos por mais de 398 dias. O Fórum CA/B havia votado anteriormente contra uma iniciativa para reduzir a vida útil do certificado.
Mesmo assim, ela decidiu seguir unilateralmente esse caminho de redução. Um pouco depois, os outros navegadores se juntaram à Apple.
Antes de 2015, era possível obter um certificado SSL / TLS por até cinco anos. Esse período foi reduzido para três anos e, novamente, em 2018 para dois anos, e agora para um ano. O principal objetivo desta mudança é proteger usuários.
Prazos de validade longos dificultam a substituição de certificados no caso de um grande incidente de segurança. Os browsers querem evitar um ecossistema que não pode responder rapidamente às principais ameaças relacionadas a certificados.
Os certificados de curta duração melhoram a segurança porque reduzem a janela de exposição se um certificado TLS for comprometido. Eles também ajudam a remediar a rotatividade operacional normal dentro das organizações, garantindo atualizações anuais de identidade, como nomes de empresas, endereços e domínios ativos.
Vida útil mais longa significa que se leva mais tempo para implementar atualizações ou alterações organicamente. Um exemplo do mundo real seria a transição de SHA1 para SHA2.
A menos que se revogue uma grande quantidade de certificados e force o cliente a remete-los novamente, levará anos para que todos os certificados antigos sejam substituídos. Com uma validade menor, isto não acontece.
Com a mudança, as Autoridades Certificadoras devem garantir que só emitirão certificados de um ano a partir da data estabelecida e fabricantes de navegadores irão considerar como uma “violação de política” qualquer site com certificados de validade superior a 398 dias, podendo mover ações disciplinares em caso de descumprimento.
As CAs também deverão usar certificados raiz comuns a todos os navegadores para emitir certificados TLS públicos, do contrário usuários terão erros ao ar sites de navegadores diferentes.
Alterar a validade do certificado de dois para um ano significa cortar a vida útil dos certificados pela metade e, consequentemente, dobrar a chance de perder um certificado caso ele vença.
Portanto programadores terão que trabalhar um pouco mais em termos de gerenciamento de certificados, a menos a empresa adote soluções que já incluam estas automações. A grande vantagem é que, com chaves de certificado alternadas frequentemente, as organizações correm menor risco de invalidar certificado, de inatividade página e de exposição à ataques de hackers.
É importante lembrar que essa alteração no prazo de validade não afeta os certificados TLS privados como certificados emitidos de raízes personalizadas, de código, certificados de e-mail ou qualquer outro tipo de certificado não-TLS. As companhias que usam ou emitem esses tipos de certificados devem considerar o período de validade definido própria pela plataforma.
Para tornar a vida do mais fácil, algumas CAs permitem que clientes e parceiros tenham durações de certificado flexíveis de até horas por meio de APIs.
Com isso, a capacidade estendida permite que eles aproveitem os tempos de manutenção de certificados variáveis por meio da crescente funcionalidade de automação. Há ainda no mercado planos de de CA de dois, três, quatro, cinco e seis anos para certificados TLS, permitindo que os clientes evitem os aborrecimentos dos processos de aquisição corporativa a cada ano.
Como os períodos de validade dos certificados diminuindo cada vez mais, é preciso pensar na automação como uma saída para que as companhias possam gerenciar as datas de expiração de seus certificados.
Optar por ferramentas que rastreiam as datas de validade de certificados, personalizem notificações de renovação e automatizem renovações de certificados podem ajudar os programadores nesta tarefa.
*Por Dean Coclin, diretor sênior de desenvolvimento de negócios da Digicert.