Por Marcio D’avila
Atualmente, os Certificados SSL/TLS têm validade máxima de dois anos, mas, na tentativa de garantir uma melhor proteção das conexões seguras (HTTPS), os fabricantes de navegadores, como Apple, Google e Mozilla, estão tentando reduzir esse período para um ano.
A Apple foi a primeira a abordar este tema. Em março, em um evento, a empresa anunciou que a partir de 1º de setembro deste ano, os Certificados SSL/TLS com período de validade superior a um ano não serão mais reconhecidos como confiáveis pelo navegador Safari.
Em junho, foi a vez do Google avisar que implementará a mesma restrição no Chrome, que exibirá um alerta de “Site não Seguro” para os Certificados SSL/TLS que violarem a política.
Recentemente, a Mozilla anunciou que também implementará esta medida em seu navegador. O fabricante, inclusive, diz que atualizará sua Política de Repositório Raiz para impor a limitação, independentemente se o Ballot SC31, do CA/Browser Forum, que discute se esta questão, aprová-la ou não.
Já a Microsoft ainda não se pronunciou sobre o assunto, mas provavelmente seguirá o exemplo dos outros , considerando a tendência e o fato de que seu navegador Edge é baseado em Chromium.
O impacto no dia a dia de quem tem um site
Alinhadas aos fabricantes de navegadores, a maioria das Autoridades Certificadoras já divulgaram seus planos para limitar a validade dos Certificados SSL/TLS.
Isso significa, na prática, que se em seu site há um SSL/TLS, com validade de dois anos, emitido antes de 1º de setembro, seu ambiente permanecerá válido até a data de vencimento do Certificado. E, no momento da renovação, você não terá opção de atualizá-lo por mais dois anos, apenas por 12 meses.
Em outras palavras, você tem até 1º de setembro para obter Certificados de dois anos. Depois disso, somente haverá no mercado a possibilidade de adquirir SSL/TLS de 12 meses.
Os benefícios desta mudança
Os fabricantes de navegadores afirmam que essas alterações são importantes para fornecer mais segurança aos internautas, uma vez que ao adotar um SSL/TLS com validade de um ano, minimiza-se o risco de utilizar Certificados com algoritmos criptográficos fracos ou vulneráveis, pois a atualização seria feita anualmente.
Outro ponto importante é que esta medida limita a exposição das chaves criptográficas a ataques externos, pois seriam alteradas regularmente. O período de vigência reduzido também impede que provedores de hospedagem, ou terceiros, usem um SSL/TLS por um longo tempo depois que um domínio não é mais usado ou mudou de provedor.
Márcio D’Avila, consultor técnico e especialista em identificação digital da Certisign