Há alguns meses, houve um debate em todo o setor sobre o prazo ideal de validade dos certificados SSL / TLS. Foi um debate bastante intenso que terminou com as autoridades de certificação votando não no intenção do Google em reduzir a validade máxima de um certificado SSL/TLS a um ano no Fórum CAB.
Na semana passada, na reunião do fórum CAB em Bratislava, Eslováquia, a Apple anunciou sua intenção de restringir a validade do SSL / TLS a apenas 398 dias (aproximadamente um ano e um mês usado para facilitar as renovações).
Com o objetivo de descomplicar, achamos que seria benéfico discutir o assunto e utilizar termos que farão sentido para a maioria da comunidade empresarial
Você não precisa substituir seus certificados SSL / TLS
O impacto dessa decisão não atingirá os consumidores até 1º de setembro de 2020. Após esta data qualquer certificado SSL / TLS emitido poderá ser válido por até 398 dias - caso contrário, não será confiado pelos sistemas Mac OS e iOS da Apple, o que resulta em todos os usuários do Safari. Além disso, considerando os desejos declarados anteriormente em reduzir a validade do certificado, Google e Mozilla também avançarão com essa alteração e provavelmente cumprirão os mesmos prazos.
O que isso significa para você é que, a partir de 1º de setembro, não há efetivamente nenhuma opção de certificado de dois anos se você deseja que seu site funcione para usuários da Apple. Você também precisará substituir ou renovar os certificados com mais frequência do que no passado.
É importante mencionar: o que você não precisará fazer é se esforçar para obter um novo certificado ANTES de 1º de setembro. Os certificados SSL / TLS que foram emitidos hoje permanecerão válidos até a data de vencimento. Na próxima renovação, você deverá emitir um certificado com validade de um ano.
Portanto, não se deixe levar por empresas que te aconselhe em substituir seu certificado agora.
E então houve um ... ano
Os navegadores afirmam há muito tempo que preferem períodos de validade mais curtos para certificados publicamente confiáveis. A validade de certificado mais curta, em teoria, significa segurança aprimorada em termos de exposição reduzida a ameaças de comprometimento de chave privada e verificação de identidade mais frequente no caso de alterações na identidade SSL - como nomes de organização, endereços e domínios ativos.
Lembre-se de que o objetivo principal desses navegadores é proteger seus usuários. E o uso indevido de certificados publicamente confiáveis pode representar ameaças significativas. Lembre-se, por um período, a validade máxima era de cinco anos. Então três. Então dois. Agora um. Eventualmente, pode reduzir para apenas 90 dias - possivelmente até 30 - mas essa redução está sendo conduzida quase inteiramente pelos navegadores.
Por que a votação anterior no fórum do CAB falhou?
A última votação falhou principalmente devido ao tempo. A GlobalSign, juntamente com várias outras ACs, foi diretamente aos seus clientes e buscou seus comentários. O apetite por validade mais curta simplesmente não existia devido a vários fatores.
A votação da Google procurou implementar a mudança até 1º de abril, menos de seis meses da data da votação, o que não era suficiente. Portanto, resultando em um pedido para definir uma data de 12 a 18 meses de prazo, dando a todos tempo suficiente para se preparar para as alterações.
Parece que a Apple decidiu dividir a diferença e apontar para setembro.
Qual é a posição da GlobalSign sobre o curto prazo de validade dos certificados?
Na GlobalSign, colocamos nossos clientes e parceiros em primeiro lugar - é o caso de todas as decisões que tomamos. Ao mesmo tempo, procuramos ativamente melhorar a Internet e torná-la um local mais seguro para socializar e fazer negócios.
A validade mais curta pode ser melhor para a segurança, embora os navegadores não tenham fornecido uma lista concreta dos problemas de segurança e da gravidade do uso de certificados de dois anos. Em uma análise de segurança adequada das vulnerabilidades de dois anos e um cronograma mais razoável para essas alterações, a GlobalSign apoiaria a migração para certificados de um ano. Mas, enquanto os navegadores têm um foco específico que é pertinente ao que fazem -nós como Autoridade Certificadora, também temos um. E precisamos garantir que nossos clientes estejam em uma posição ideal para essa mudança. É por isso que a GlobalSign está preparada para trabalhar em estreita colaboração com qualquer organização que pretenda otimizar e aprimorar o gerenciamento do ciclo de vida dos certificados para se alinhar às exigências de validade do navegador.
Por mais de 15 anos, a GlobalSign é líder no espaço de PKI e, apesar da maneira pouco não ortodoxa em que essa iniciativa foi introduzida, planejamos continuar guiando a web em direção a uma maior automação e soluções de gerenciamento de certificados mais ágeis. Se você tiver alguma dúvida ou quiser descobrir como podemos tornar a rotação de certificados mais frequente sem esforço, entre em contato conosco.