O mês de junho marca o final de uma espécie de queda de braço entre três dos principais fabricantes de browsers (Apple, Google e Mozilla) e a CA/B, organização que reúne esses fabricantes e as autoridades certificadoras (CAs). É que neste mês Google e Mozilla indicaram que seguirão a decisão da Apple de não reconhecer mais os certificados públicos SSL/TLS com prazo de vencimento superior a 398 dias, a partir de 1 de setembro deste ano. Para os administradores de sistemas isso significa o seguinte: quem quiser certificados com validade de dois anos precisa comprá-los antes de 1 de setembro. Daí em diante a validade será de praticamente um ano.
A decisão da Apple foi unilateral e anunciada em 20 de fevereiro deste ano. O assunto havia sido votado numa reunião da CA/B em setembro de 2019 mas a votação acabou praticamente empatada e nenhuma decisão saiu. Com Apple, Google e Mozilla a favor da expiração em 398 dias, as certificadoras começarão a emitir certificados com exatos 397 de validade, para que seus usuários tenham ao menos 24h de vantagem antes do vencimento. No caso dos browsers, o vencimento naturalmente implicará em mensagem de erro e de reset da conexão com o servidor.
Veja isso
Vencimento de certificados prenuncia tempestade em IoT
Índia emitiu certificados do Google sem autorização
A questão do prazo de validade vem sendo debatida há muito tempo entre os fabricantes e as CAs. Os certificados atuais iestão sendo emitidos com dois anos de validade mas os fabricantes sempre empurraram esse prazo para baixo, em nome da segurança.
Mudar a validade do certificado de dois anos para um ano significou cortar pela metade a vida útil dos certificados, o que significa duplicar a chance de perder uma expiração. Os administradores de sites terão por causa disso um pouco mais de trabalho em termos de gerenciamento de certificados. O lado positivo, porém, está no seguinte
- As chaves de certificado serão rotacionadas com mais frequência
- Os certificados terão informações mais recentes
- Menos preocupação com coisas como algoritmos de hash sendo preteridos no meio do ciclo de vida (e você não sabe disso), resultando em certificados inválidos
Com agências internacionais
