0
0
Em 3 de março, o Google (via The Chromium Projects, que controla) propôs um plano para reduzir drasticamente a vida útil dos certificados digitais TLS (Transport Layer Security), de 398 dias para 90 dias. Isso estimulará mudanças significativas na forma como as organizações gerenciam seus certificados, especialmente no que diz respeito a processos automatizados.
A proposta do órgão de código aberto por trás do navegador Google Chrome e do Chrome OS, incluída em um roteiro chamado “Moving Forward, Together“, é um passo positivo para garantir operações da Web mais confiáveis e robustas. Mas isso exigirá que as empresas e outras organizações transformem significativamente seus processos de certificação.
A vida útil dos certificados digitais caiu constantemente na última década, de cinco anos em 2012 para pouco mais de dois anos em 2018 para 13 meses, ou 398 dias, em julho de 2020. A vida útil mais curta ajuda a garantir a precisão das identidades digitais, especialmente em um ambiente de computação baseado em nuvem, onde sites e serviços estão constantemente sendo girados para cima ou para baixo para acomodar demandas e prioridades em mudança.
O Google disse que as mudanças propostas permitirão a adoção mais rápida de melhorias, como práticas recomendadas e novos recursos de segurança, e incentivarão as organizações a se afastarem de processos manuais demorados e propensos a erros. O movimento resultante em direção à automação também prepararia melhor as organizações para o advento da criptografia pós-quântica.
Um alerta para o monitoramento de certificados
Se adotada, a proposta dos Projetos Chromium para o CA/Browser Forum — um consórcio de autoridades de certificação (CA), fabricantes de navegadores e outros — provavelmente entraria em vigor até o final de 2024. E embora as mudanças não estejam definidas, as perspectivas de uma vida útil consideravelmente mais curta devem servir como um alerta para as organizações. Eles precisam ter maior controle e visibilidade sobre suas chaves públicas e certificados, porque a proposta é um sinal seguro de que o jogo mudou.
A vida útil de cinco anos de certificados de uma década atrás refletia uma época diferente, quando as equipes podiam obter um certificado para, digamos, um servidor Web e depois praticamente esquecê-lo. Eles nunca desenvolveram uma rotina para verificar se os certificados estavam prestes a expirar ou para renová-los, o que poderia levar a interrupções relacionadas a certificados. O eventual encurtamento da vida útil do certificado para 398 dias ajudou a colocar as equipes em um cronograma com o qual poderiam se sentir confortáveis, verificando regularmente os vencimentos.
À medida que as organizações se expandem na nuvem, a visibilidade dos certificados TLS (também conhecidos como Secure Sockets Layer ou SSL) é fundamental. E os ambientes em camadas e cada vez mais complexos na nuvem estão além da capacidade das equipes de acompanhar manualmente. Agora, com o novo prazo de validade proposto, trata-se de automatizar o processo.
Atualmente, as organizações dedicam seus recursos às pessoas e processos necessários para a instalação de certificados. Em um futuro próximo, eles precisarão de pessoas e recursos para automatizar o processo, que envolverá programação e manutenção de novos softwares. O foco mudará um pouco do conhecimento da infraestrutura de chave pública (PKI) — que está no centro do TLS — para o conhecimento da infraestrutura interna.
O monitoramento centralizado é fundamental
Para gerenciar a carga de trabalho do certificado, as organizações precisarão centralizar o monitoramento de certificados para identificar facilmente os certificados que estão prestes a expirar. Sem uma visualização centralizada, ainda é possível girar um servidor, obter um certificado para ele e, em seguida, esquecê-lo, o que pode levar ao desastre. Um estudo do Ponemon Institute de 2022 descobriu que metade dos entrevistados sofreu pelo menos um ataque relacionado a certificados nos dois anos anteriores e que 58% deles descreveram as consequências financeiras como “graves”.
O monitoramento centralizado também envolve mais do que verificar datas de validade em certificados. As organizações também precisarão monitorar como os certificados estão sendo usados em seus servidores. Não é incomum que os certificados sejam implantados nos servidores errados, deixando alguns servidores sem os certificados necessários para suas cargas de trabalho. Em uma pequena empresa com um punhado de funcionários, todos podem saber o que está funcionando onde. Mas em uma empresa de 5.000 pessoas, pode ser impossível acompanhar tudo isso sem uma visão centralizada.
A natureza interconectada das operações de negócios também pode exigir que a visibilidade do TLS se estenda às cadeias de suprimentos, porque um comprometimento até mesmo de um pequeno sistema dentro de um ambiente conectado pode ter um enorme impacto nas operações. As organizações podem querer considerar a vantagem dos serviços de monitoramento externos, em vez de manter tudo internamente.
Olhando para o futuro
O impacto total da proposta dos projectos Chromium ainda não foi determinado. Parece haver algumas áreas cinzentas, como se ele pode se aplicar a dispositivos de Internet das Coisas, como, por exemplo, câmeras de segurança que também usam certificados, ou se está limitado a apenas servidores Web.
Mas não importa o que aconteça com a proposta, ela reflete a realidade do ambiente atual. Tempos de vida mais curtos dos certificados são benéficos, mas as organizações certamente precisarão repensar como podem gerenciá-los adequadamente.
FONTE: DARK READING