Prazo de validade dos certificados TLS é oficialmente reduzido para 47 dias

 (digicert.com)
16 pontos por GN⁺ 2025-04-17 | 1 comentários | Compartilhar no WhatsApp
  • Redução do prazo de validade dos certificados TLS: o CA/Browser Forum decidiu reduzir o prazo de validade dos certificados TLS. Até 2029, o prazo de validade dos certificados será reduzido para 47 dias
  • Importância da automação: com a redução do prazo de validade dos certificados, a automação passa a ser essencial. A Apple afirma que a automação é indispensável para o gerenciamento do ciclo de vida dos certificados
  • Problema de confiabilidade das informações do certificado: a confiabilidade das informações do certificado diminui com o tempo, exigindo revalidações frequentes
  • Problemas no sistema de revogação de certificados: os sistemas de revogação de certificados que usam CRL e OCSP não são confiáveis, e prazos de validade mais curtos podem amenizar isso
  • Custos e soluções de automação: o custo de substituição de certificados é baseado em assinaturas anuais, e com automação muitas vezes se opta voluntariamente por ciclos de substituição mais rápidos

Redução do prazo de validade dos certificados TLS

  • O CA/Browser Forum decidiu oficialmente reduzir o prazo de validade dos certificados TLS
  • A partir de março de 2026, o prazo de validade dos certificados será reduzido para 200 dias; em 2027, para 100 dias; e em 2029, para 47 dias
  • O período de reutilização das informações de validação de domínio e endereço IP também será reduzido para 10 dias até 2029

O significado de 47 dias

  • 47 dias correspondem a 1 mês (31 dias), metade de 30 dias (15 dias) e mais 1 dia de margem
  • A Apple enfatiza que a automação é essencial para o gerenciamento do ciclo de vida dos certificados

Problema de confiabilidade das informações do certificado

  • A confiabilidade das informações do certificado diminui com o tempo, exigindo revalidações frequentes
  • O sistema de revogação de certificados não é confiável, e prazos de validade mais curtos podem amenizar isso

Necessidade de automação

  • Com a redução do prazo de validade dos certificados, a automação se torna essencial
  • A DigiCert oferece várias soluções de automação por meio do Trust Lifecycle Manager e do CertCentral

Informações adicionais e assinatura do blog

  • É possível acompanhar as informações mais recentes sobre gerenciamento de certificados, automação e TLS/SSL no blog da DigiCert
  • Para informações mais detalhadas sobre soluções de automação, é possível entrar em contato com a DigiCert

Leituras relacionadas

1 comentários

 
GN⁺ 2025-04-17
Comentários do Hacker News

  • "Fico me perguntando qual é o objetivo final aqui. Concordo com a opinião contrária. Por que não fazer logo 30 segundos?"

    • "Se passarmos do ponto em que tudo precisa ser automatizado a tal ponto que usar TLS deixa de ser viável, então fico me perguntando por que oferecer qualquer validade acima de 48 horas"
    • "Isso parece mais uma missão ideológica do que algo prático. Não sei se existe alguma vantagem financeira/de poder em forçar a mudança de toda a infraestrutura todo mês"

  • "Trabalhando com grandes empresas, vi que, com os prazos de expiração ficando cada vez menores, a maioria está usando certificados assinados internamente"

    • "Os certificados públicos são usados em dispositivos de borda/load balancers, mas os serviços internos usam certificados assinados por uma CA interna com validade longa"
    • "Isso acontece por causa de muitos apps em que usar certificados é trabalhoso"

  • "Como foi dito em outra thread, isso vai eliminar a possibilidade de criar sua própria CA para seus próprios subdomínios"

    • "Só as grandes CAs embutidas no navegador poderão ter certificados de CA próprios com o prazo que quiserem"
    • "Do ponto de vista de segurança, isso é uma faca de dois gumes"
    • "Se todo mundo se acostumar com certificados mudando o tempo todo e o pinning de certificado desaparecer, vai ser mais difícil perceber quando a China ou uma empresa fornecer um certificado falso"
    • "Em vez de sistemas fechados, todas as máquinas do mundo terão de ficar conectadas quase permanentemente a servidores aleatórios de certificados para atualizações do sistema"
    • "Se os servidores da Digicert ou da Letsencrypt, ou o 'cliente de atualização de certificados', forem invadidos ou tiverem algum problema de segurança, a maior parte dos servidores do mundo poderá ser comprometida em pouquíssimo tempo"

  • "A seguinte explicação no artigo me fez rir"

    • "47 dias pode parecer um número arbitrário, mas é uma sequência simples"
    • "47 dias = no máximo um mês (31 dias) + 1/2 de 30 dias (15 dias) + 1 dia de folga"
    • "Então 47 não é arbitrário, mas 1 mês, 1/2 mês e 1 dia não são arbitrários"

  • "Como autoridade certificadora, uma das perguntas que os clientes mais fazem é se há custo extra para trocar certificados com mais frequência"

    • "A resposta é não. O custo é baseado em assinatura anual"
    • "Digicert, para aí. O preço é baseado em assinatura anual. O custo da CA na prática aumenta só um pouquinho, mas já é praticamente zero"
    • "Operar uma CA é um dos negócios mais fáceis do mundo"

  • "Configuramos o monitoramento para enviar um alerta não crítico de 'pode esperar até segunda-feira' quando resta 14 dias ou menos para o certificado expirar, e um alerta de 'não perturbe' quando faltam 48 horas para expirar"

    • "Alguns anos atrás o cert-manager entrou em um estado estranho, então da próxima vez quero descobrir isso com antecedência"

  • "Eu queria que criptografia e identidade não fossem tão fortemente acopladas nos certificados"

    • "Ao emitir certificados, eu sempre me importo com a criptografia, mas às vezes não me importo com a identidade"
    • "Quando só me importo com criptografia, preciso assumir a carga extra de me preocupar também com identidade"

  • "Fico me perguntando se, quando isso entrar em vigor, todos os Chromecasts vão parar de funcionar de novo"

    • "Pela reação do Google durante a interrupção do Chromecast no começo deste ano, o Chromecast deve ser operado com equipe mínima e não deve haver recursos para automatizar a renovação de certificados"

  • "Com automação e certificados de curta duração, as autoridades certificadoras ficam parecidas com um OpenID Provider"

    • "Uma parte importante da segurança passa a se concentrar em como a autoridade certificadora valida a propriedade do domínio"
    • "Talvez os clientes possam fazer a validação diretamente sem depender do certificado"
    • "Por exemplo, ao se conectar ao servidor, o cliente envia dois valores únicos, e o servidor precisa criar um registro DNS"
    • "Seria autenticação via DNS. Seria preciso acelerar o sistema DNS"

  • "Isso vai quebrar a dependência de pinning de certificado em dois lugares interessantes"

    • "Apps móveis"
    • "APIs corporativas. Muitas empresas fazem pinning de certificado e reclamam quando giramos os certificados"
    • "Um prazo de 47 dias vai forçá-las a rotacionar o pinning automaticamente"

  • "A suposição aqui é que a chave privada pode ser comprometida mais facilmente do que o segredo/mecanismo usado para emitir o certificado"

    • "Não tenho certeza sobre essa parte"