O CA/Browser Forum decidiu na votação SC-081v3 que, até 2029, a validade máxima dos certificados será reduzida para 47 dias, após uma diminuição gradual em relação aos anos anteriores.
Principais conclusões:
- O gerenciamento manual de certificados não é mais matematicamente viável. A transição de ciclos de vida anuais para de 47 dias aumenta as workloads operacionais em nove vezes, criando uma margem de erro extremamente pequena que torna as planilhas e calendários tradicionais um caminho garantido para interrupções de serviços.
- A visibilidade é o pré-requisito fundamental para a segurança. As grandes organizações muitas vezes têm dificuldades com a TI sombra e os endpoints não documentados, levando a um tempo de inatividade inesperado; a manutenção de um inventário centralizado e automatizado garante que cada certificado seja rastreado e renovado antes da expiração.
- Os aplicativos móveis enfrentam o risco de perderem a funcionalidade. Ao contrário dos navegadores, os aplicativos móveis geralmente incorporam lógica de confiança estática que falha quando os certificados do servidor mudam rapidamente, exigindo uma mudança para a fixação dinâmica ou a fixação de chave pública para evitar a negação imediata do serviço para os usuários.
- A infraestrutura de confiança agora deve operar na velocidade da entrega de software. Tratar certificados como tarefas administrativas isoladas leva a gargalos de implantação; incorporar a integridade dos certificados diretamente aos pipelines de CI/CD permite que as organizações apliquem políticas de segurança e validem a postura de confiança continuamente.
- A automação deve substituir a intervenção humana para garantir a resiliência. A geração manual de CSRs e as aprovações baseadas em e-mail geram latência e inconsistência que não podem ser dimensionadas com limites de 47 dias; adotar a automação baseada em ACME e orientada por eventos garante que as renovações sejam programáticas, repetíveis e seguras contra falhas.
Perguntas frequentes (FAQ)
Sob a nova decisão, a reutilização da DCV será limitada a apenas 10 dias até 2029, o que significa que as organizações devem estabelecer prova de propriedade de domínio quase todas as semanas.
Os aplicativos móveis sofrem de uma "lacuna de assimetria" porque geralmente incorporam lógica de confiança ou certificados fixados diretamente em binários distribuídos, que não podem ser atualizados tão rapidamente quanto os certificados do lado do servidor mudam.
A Akamai recomenda a descontinuação da fixação de certificados folha e a transição para a fixação de SPKI (Subject Public Key Info, informações da chave pública do assunto), o que permite que os certificados sejam reemitidos com novas datas de validade enquanto o mesmo par de chaves é utilizado.
O primeiro é o certificado apresentado pela plataforma de edge ao usuário final, e o segundo é o certificado apresentado pelo servidor de origem à plataforma de edge para manter uma cadeia completa de confiança.
Se a rotação do certificado de origem exigir intervenção manual, a Akamai sugere fixar um certificado de origem específico na configuração de edge como uma medida provisória, com um processo para substituí-lo anualmente ou semestralmente.
A vinculação de conta externa (EAB) ACME é um mecanismo que vincula solicitações automatizadas de certificados a uma conta verificada com uma autoridade de certificação (CA). Ela garante que apenas usuários autorizados possam emitir certificados exigindo prova criptográfica durante o registro da conta. A EAB é comumente usada para impor controle de acesso, faturamento, conformidade com políticas e auditabilidade para emissão automatizada de certificados.
A EAB ACME permite interações autenticadas e orientadas por políticas com autoridades de certificação comercial, permitindo a automação e preservando os controles de identidade e os fluxos de trabalho de aprovação existentes.
A liderança deve priorizar a auditoria do inventário de certificados para estabelecer uma única fonte de verdade, mapear todas as dependências de renovação manual e auditar aplicativos móveis para fazer a descontinuação do processo de alto risco de fixação de certificados folha.