Se você ainda não automatizou o gerenciamento do ciclo de vida do certificado (CLM) – o tempo está se esgotando
O ACME ou Ambiente de Gerenciamento Automático de Certificados, é um protocolo que foi projetado há vários anos para automatizar o gerenciamento do ciclo de vida do certificado. Foi originalmente criado pelo Internet Security Research Group (ISRG) para ser usado pela autoridade certificadora de código aberto, Let's Encrypt.
Na época, era uma inovação necessária pois os certificados SSL/TLS da Let's Encrypt eram válidos por apenas 90 dias e precisavam ser substituídos pelo menos quatro vezes por ano. Isso era diferente de outras ACs comerciais que – de acordo com os requisitos básicos do Fórum CA/Browser – emitiam certificados com validade máxima de 13 meses (397 dias).
Bem, isso está prestes a mudar. Após as reuniões presenciais do Fórum CA/B realizadas no início de março de 2023, o Google anunciou sua intenção de reduzir a validade máxima do certificado para apenas 90 dias para todos os certificados SSL/TLS com confiança pública.
Embora ainda não haja uma data ou prazo para essa alteração entrar em vigor, agora é a hora de começar a planejar a automação do gerenciamento do ciclo de vida do certificado para SSL/TLS.
Por que uma validade de certificado mais curta?
A redução da vida útil dos certificados tem sido uma ação contínua na última década. Considerando que há 10 anos você poderia comprar um certificado SSL de 5 anos, esse número foi reduzido constantemente de três para dois anos e depois para a validade máxima atual de um ano (tecnicamente 13 meses).
A ideia por trás disso é boa, mesmo sendo um pouco pesado fazer isso em grande quantidade; quanto mais tempo um certificado permanece válido, menos confiável ele é. Pense desta forma: o certificado SSL/TLS é usado pelos navegadores para verificar a identidade de um servidor da web. Quanto maior o período entre a verificação dessas informações, menos confiável essa validação se torna. Pense em quanta coisa pode mudar no decorrer de apenas um ano – empresas dobram de tamanho, são feitas transações e fusões, empresas evoluem. Portanto, para se manter o nível mais confiável de autenticação, as informações precisam ser verificadas regularmente.
Qual seria a regularidade ideal é algo discutível. O representante anterior do Google no Fórum CA/B – que determina as exigências regulatórias do setor – afirmou que as informações de validação de domínio devem manter a confiança por apenas seis semanas. Três meses é quase o dobro disso (12 e meio).
A partir de agora, o Google disponibilizou uma pesquisa para as autoridades certificadoras no Fórum CA/B e está solicitando feedback sobre os planos que definiu até o final de março. Depois disso, provavelmente anunciará as datas de aplicação de todas as alterações propostas. Manteremos você informado sobre o andamento da situação.
Por enquanto, é hora de iniciar uma discussão séria sobre o gerenciamento do ciclo de vida do certificado em sua empresa. Com o ACME, a GlobalSign tem uma solução pronta para isso.
A automação deixou de ser um desejo é passou a ser uma necessidade
Gerenciar certificados SSL/TLS sempre foi uma chatice. Se a quantidade for maior do que você consegue contar na mão, é preciso de planejar cuidadosamente, lidar com várias validações, obter os certificados emitidos, colocá-los nos servidores certos, instalá-los, configurá-los, definir lembretes para quando eles expirarem –, ou seja, é, sem dúvida, um grande estorvo.
Isso se esta preocupação ocorresse apenas uma vez por ano. Agora, multiplique isso por quatro. Socorro! Se a equipe de TI estiver alocada no segundo andar ou em um andar mais alto, talvez seja preciso lacrar as janelas com pregos.
Porém, há uma maneira mais fácil de evitar que os funcionários pulem a janela: o serviço ACME da GlobalSign. Como mencionado, o ACME foi projetado especificamente com esses prazos em mente e, desde sua especificação inicial, foi aprimorado para promover mais do que apenas certificados validados por domínio (DV) de código aberto. O serviço ACME da GlobalSign pode emitir certificados SSL/TLS validados por domínio e organização (OV). Além disso, é respaldado por toda a experiência, suporte e Acordos de Nível de Serviço (SLAs) que tornam a GlobalSign uma das Autoridades Certificadoras e Provedora de Serviços Confiáveis Qualificados mais respeitadas do mundo.
ACME é um protocolo que facilita a comunicação entre uma AC (GlobalSign) e um agente instalado em um servidor web. O agente gerencia todo o ciclo de vida do certificado para todos os sites no servidor para os quais está autorizado a atuar. Os clientes podem adquirir pacotes de certificados e gerenciar tudo através do portal Atlas, permitindo a automação total de todos os certificados SSL/TLS em sua rede.
Acabou o trabalho árduo envolvido nas validações. O agente faz isso por você. Chega de instalações e configurações. O agente também faz isso. Quando um certificado estiver prestes a expirar e tiver que ser substituído – você adivinhou, o agente estará no comando.
O serviço ACME da GlobalSign é uma solução de automação que requer pouco recurso e esforço e não depende de agente, eliminando o trabalho enfadonho para sua equipe de TI e economizando o dinheiro de sua empresa. Sejamos honestos, não poderia ter sido disponibilizado em um momento melhor devido ao recente anúncio do Google.