0
0
O Google está propondo reduzir a vida útil dos certificados digitais usados para proteger sites e outras comunicações online para apenas 90 dias. Atualmente, os certificados TLS (Transport Layer Security) públicos têm validade máxima de 13 meses ou 398 dias.
As autoridades de certificação emitem certificados TLS (também chamados de certificados Secure Socket Layer ou SSL) com uma data de validade. A vida útil desses certificados tem diminuído nos últimos anos, já que alterná-los frequentemente torna mais difícil para os invasores usarem certificados fraudulentos.
No roteiro “ Avançar, Juntos ” do Projeto Chromium, o Google sugeriu que a alteração para 90 dias poderia ser feita na forma de uma atualização de política futura ou como uma proposta de votação do Fórum CA/B. Se o Fórum CA/B — um consórcio de fabricantes de navegadores, autoridades certificadoras e outras partes interessadas no ecossistema de certificados digitais — não tornar formalmente 90 dias o padrão do setor, o Google poderá forçar unilateralmente essa mudança no setor, tornando a validade mais curta período um requisito para o programa raiz do Chrome. Os navegadores controlam seus próprios requisitos de programa raiz, portanto, os fabricantes de navegadores não precisam esperar por mudanças formais nas regras do Fórum CA/B. Em virtude da participação de mercado do Chrome, se o Google fizer essa alteração para o Chrome, que o torna um padrão de fato que toda autoridade de certificação pública comercial teria que seguir.
O impacto vai além dos fabricantes de navegadores e autoridades certificadoras porque as organizações precisarão renovar seus certificados digitais com mais frequência . O processo, se for feito manualmente, pode ser complicado porque envolve a identificação de certificados prestes a expirar, a emissão de novos, a revogação dos antigos e a implantação de novos certificados. Com o novo período de validade, as equipes de segurança de TI terão que lidar com renovações quatro vezes ao ano para cada certificado – uma tarefa árdua, considerando que a maioria das empresas possui muitos certificados e esse número está crescendo rapidamente.
O Google não forneceu um cronograma específico em seu roteiro, mas com base em como as mudanças ocorreram no passado, o novo período de validade provavelmente entrará em vigor no final de 2024, o que dá às organizações tempo para obter visibilidade e controle sobre suas chaves e certificados.
FONTE: DARK READING