A partir de 1º de setembro, os certificados SSL/TLS não podem ser emitidos por mais de 13 meses (397 dias). Essa mudança foi anunciada pela Apple pela primeira vez no evento presencial de primavera do Fórum CA/Browser ocorrido em Bratislava, em março passado.
Na semana passada, no evento de verão do Fórum CA/B (realizado virtualmente), o Google anunciou sua intenção de se equiparar às mudanças da Apple com seu próprio programa de raiz.
Há também uma votação orientada pelo navegador que procura alinhar os requisitos básicos do setor com as novas alterações do programa de raiz. Essa questão está sendo debatida atualmente pelo Fórum.
Notamos que talvez haja bastante assunto a ser exposto, portanto, visando esclarecer um pouco, abordaremos esse tema nesta postagem.
O motivo de um certificado SSL/TLS ter uma vida útil mais curta
Teoricamente falando, existem dois benefícios principais para certificados de vida mais curta:
O primeiro é o componente técnico – vida útil mais longa significa que leva mais tempo para implementar organicamente atualizações ou alterações. Um exemplo do mundo real seria a transição de SHA1 para SHA2. A menos que você revogue uma infinidade de certificados e force o cliente a reemiti-los, levará anos para que todos os certificados antigos sejam substituídos. No caso do SHA1, foram necessários três anos. Isso gera riscos.
O outro benefício diz respeito à identidade – por quanto tempo as informações usadas para validar uma identidade permanecerão confiáveis? Quanto maior for a janela entre uma validação e outra, maior será o risco. O Google afirmou que, em um ideal mundo, a validação do domínio deve ocorrer a cada seis horas.
Antes de 2015, era possível obter um certificado SSL/TLS por até cinco anos. Esse período foi reduzido para três anos e, novamente, em 2018, para dois anos. No final de 2019, foi proposta uma votação no Fórum CA/B que reduziria esse período para um ano – e a proposta foi rejeitada em peso pelas autoridades certificadoras.
Então, por que o certificado continua sendo reduzido para um ano?
O Fórum CA/Browser é um grupo do setor que se reúne para votar em um conjunto de requisitos básicos para a emissão de certificados digitais confiáveis. Contudo, ele não é um órgão regulamentador. Embora as autoridades certificadoras tenham demonstrado preocupação e relutado em diminuir novamente a validade máxima, a Apple e o Google têm todo o direito de atualizar as políticas de seus respectivos programas de raiz, conforme considerarem adequado.
Sabemos que acabamos de despejar uma penca de termos do setor para você, portanto, vamos recapitular rapidamente para garantir que o parágrafo anterior faça sentido.
O relacionamento entre as autoridades certificadoras e os navegadores é interdependente. Os navegadores precisam usar certificados para determinar a confiança dos sites e para ajudar a proteger as conexões. No que diz respeito à autoridade certificadora, qual é a utilidade de um certificado público se um navegador não confiar nele?
Tudo isso é gerenciado através dos programas de raiz. Há quatro programas principais importantes a serem observados:
- Microsoft
- Applei>
- Mozilla
- Google (os dois últimos conhecidos como Googzilla – lol)
Aliás, você notará que esses quatro programas também estão por trás dos principais navegadores, tanto em computadores quanto em dispositivos móveis. Para que os certificados de uma AC sejam confiáveis pelos programas de raiz e, por extensão, pelos navegadores e sistemas operacionais que os utilizam, a AC deve seguir as diretrizes do programa de raiz. O Fórum CA/B é um fórum do setor que, idealmente, ajuda a promover as alterações nos programas de raiz (e no próprio ecossistema).
Mas os programas de raiz, que participam como navegadores, ainda conseguem agir unilateralmente e fazer alterações, conforme considerarem adequado. Quando isso acontece, a necessidade de interoperabilidade basicamente determina que qualquer política de programa de raiz que tenha os padrões mais rigorosos acaba se tornando o novo requisito básicos de fato.
Foi assim até agora. Agora, vamos falar sobre o que isso significa para o seu site.
O que a validade SSL/TLS mais curta significa para os proprietários de sites
Primeiramente, isso entra em vigor em 1º de setembro de 2020. Portanto, se você estiver usando um certificado de dois anos que tenha sido emitido antes de 1º de setembro, seu certificado continuará válido até a data de vencimento original. Você só não conseguirá renová-lo por dois anos.
Em outras palavras, você tem até 1º de setembro para adquirir certificados de dois anos. Depois disso, eles serão relegados para a lixeira da área de trabalho da história.
Analisando o panorama geral, talvez seja um bom momento para começar a considerar a automação de mais funções de gerenciamento do ciclo de vida do certificado. Especialmente para empresas maiores que gerenciam dezenas de certificados de sites com confiança pública, mas também para empresas que usam certificados de e-mail com confiança pública, assim como para qualquer empresa que utilize uma assinatura eletrônica privada baseada em AC ou PKI. Você também pode avaliar a possibilidade de transferir alguns certificados de confiança pública para confiança privada, o que também ajuda no gerenciamento, pois é possível emitir certificados com validade mais longa usando esse método.
Caso contrário, da forma como os programas de raiz estão pressionando por uma validade mais curta – as empresas serão praticamente forçadas a automatizar muitas dessas coisas em algum momento no futuro.
Portanto, é melhor explorar isso agora e não quando a água chegar no pescoço.
Como a GlobalSign lidará com certificados de um ano de validade
Visando simplificar e deixar o processo o mais prático possível, a partir de 31 de agosto, a GlobalSign fornecerá aos clientes de SSL/TLS a validade máxima de 397 dias quando eles solicitarem certificados de um ano. Isso se aplica a novos pedidos e renovações, para fornecer validade máxima em benefício de nossos clientes.
Se você ainda deseja renovar seu certificado antes que ele expire, mas como não podemos mais fornecer até 90 dias adicionais para sua validade, recomendamos que você o renove dentro de 30 dias após a expiração.
Eu deveria reemitir meus certificados?
Você pode se perguntar o que acontecerá quando reemitir um dos seus certificados de dois anos depois que essa alteração passar a vigorar. Bem, temos boas notícias para você! Se você reemitir um certificado e perder a validade (somos obrigados a restringir a validade a 397 dias), poderá reemitir o certificado posteriormente – o ideal é que em menos de 397 dias antes do vencimento de seu certificado original – e recuperar a validade perdida da sua primeira reemissão! Funciona da mesma maneira que em 2018, quando passamos de três anos para dois anos de validade máxima.
Vale observar que o processo de reemissão do certificado EV é um pouco diferente, devido às exigências das Diretrizes de EV (EVGL) para reemissão de certificados. Embora você ainda possa reemitir seus certificados, eles serão colocados na fila para revisão manual e precisaremos garantir que todas as validações estejam atualizadas antes de liberá-los.
Em caso de dúvidas sobre como essas alterações afetarão exclusivamente sua empresa ou site, entre em contato conosco.
Como sempre, manteremos você atualizado sobre o andamento das coisas.