No final deste ano e durante 2024, acontecerão mudanças significativas no mercado de infraestrutura de chave pública (PKI) e organizações de todos os tipos devem estar cientes dessas transformações, de acordo com a GMO GlobalSign, Inc., uma Autoridade Certificadora (AC) global e fornecedora líder de soluções de segurança de identidade, assinatura digital e IoT.
Essas mudanças significativas irão acontecer em várias áreas críticas como: o movimento do Google para reduzir a vida útil dos certificados SSL/TLS, os novos requisitos de linha de base do fórum CA/Browser para segurança de e-mail e as alterações obrigatórias para a utilização de certificados raiz emitidos pela Mozilla. As próximas mudanças devem criar um impacto significativo nas indústrias que estão usando PKI – incluindo milhões de empresas em todo o mundo. Dessa forma, essas alterações irão exigir que as organizações adaptem seu PKI para garantir o seu contínuo cumprimento dos padrões de segurança.
Transição para certificados SSL/TLS de 90 dias
É necessário informar às companhias que dependem do PKI sobre a declaração feita pelo Google no dia 3 de março deste ano, que propôs um limite obrigatório de 90 dias de validade para certificados SSL/TLS. O ciclo de vida atual dos certificados SSL/TLS é de 398 dias. Por esse motivo, as empresas são fortemente aconselhadas a avaliar o mais rápido possível seus processos de gerenciamento do ciclo de vida de certificado, para que estejam preparadas e consigam permanecer seguras após essas mudanças. Esses desdobramentos podem acabar forçando as empresas a terem que reestruturar sua infraestrutura de TI e adotar novas tecnologias, especificamente a automação para garantir o gerenciamento contínuo do ciclo de vida dos certificados.
"Os administradores de site precisarão aderir à automação se ou quando a validade máxima do certificado de 90 dias proposta pelo Google, bem como a reutilização de domínio, entrarem em vigor. Ficará cada vez mais difícil substituir certificados usando CSRs gerados manualmente e realizar instalações subsequentes de certificados, pois o período de validade e de revalidação do domínio irão diminuir", disse Doug Beattie, Vice-presidente de Gestão de Produtos da GlobalSign. "Tecnologias como o serviço de ACME da GlobalSign ajudam a automatizar as funções do ciclo de vida dos certificados e garantem que eles sejam substituídos automaticamente, usando processos totalmente automatizados antes que expirem. Isso mantém as empresas seguras e evita que seus sites usem certificados expirados, o que resulta na perda de negócios."
Alterações nos requisitos de linha de base S/MIME
Em janeiro, o Fórum CA/B, um consórcio de fornecedores de navegadores, autoridades certificadoras e outras organizações que fazem parte do ecossistema de certificados digitais, estabeleceram um novo conjunto de padrões chamado "Requisitos de linha de base para a emissão e gerenciamento de certificados S/MIME publicamente confiáveis" para sistematizar detalhadamente as exigências do setor para certificados S/MIME. Os novos padrões resultam em uma mudança que entrará em vigor em 1º de setembro. Isso significa que haverá uma padronização nos perfis de certificados, que exigirão validação adicional, sendo ela organizacional ou individual, e, em alguns casos, as ACs precisarão substituir suas ACs S/MIME atuais por novas, que sejam compatíveis com as novas normas. Ter um padrão da indústria para certificados S/MIME melhora a interoperabilidade e a segurança, podendo ser comparado ao que foi feito para certificados TLS e Code Signing.
Mozilla planeja parar de confiar em certificados raiz antigos
A Mozilla anunciou planos para remover os Secure Bits SSL/TLS e S/MIME no Roots quando eles tiverem 15 e 18 anos, respectivamente. A medida está sendo tomada porque alguns dos Roots mais antigos não atendem aos requisitos atuais do Roots para promover agilidade criptográfica. As Roots R1 e R3 da GlobalSign terão seus Secure Bits SSL/TLS removidos em abril de 2025 e abril de 2027, respectivamente. Como resultado, deixaremos de emitir certificados SSL/TLS sob essas Roots em 2024 e 2026.
