Redução da Duração dos Certificados TLS: Preparação para um Futuro com Períodos de Validade Mais Curtos
Home / Media / News / Redução da Duração dos Certificados TLS: Preparação para um Futuro com Períodos de Validade Mais Curtos

Redução da Duração dos Certificados TLS: Preparação para um Futuro com Períodos de Validade Mais Curtos
19 Mar ‘25

Redução da Duração dos Certificados TLS: Preparação para um Futuro com Períodos de Validade Mais Curtos

O cenário de segurança digital está passando por uma transformação significativa, impulsionada principalmente pelos períodos de validade reduzidos introduzidos pelos principais fornecedores de navegadores em relação aos certificados SSL/TLS. Este movimento, que começou há vários anos, ganhou substancial impulso após propostas recentes de líderes da indústria, como Apple e Google.

Em outubro de 2024, a Apple apresentou uma proposta ao CA/Browser Forum visando encurtar significativamente a duração e validade dos certificados TLS, conforme descrito na votação intitulada “SC-081: Introduzir Cronograma de Redução de Períodos de Validade e Reuso de Dados.”

Ao implementar tais medidas, a Apple busca mitigar os riscos associados a durações de certificados mais longas, assegurando que os certificados sejam renovados com mais frequência e, assim, melhorando a postura de segurança geral das comunicações na web.

Organizações que dependem de conexões seguras na web e de transações eletrônicas devem monitorar de perto esses desenvolvimentos para garantir a continuidade dos negócios, manter operações eficientes e manter uma postura de segurança robusta.

 

A Evolução dos Períodos de Validade dos Certificados

A jornada para durações de certificados mais curtas está em andamento há mais de uma década, marcada por uma trajetória clara de redução da validade. Uma visão retrospectiva dessa progressão histórica revela um padrão consistente:

  • Em 2012, os certificados podiam permanecer válidos por até 60 meses (5 anos).
  • Em 2015, essa validade máxima foi reduzida para 39 meses.
  • Em 2018, foi feita outra alteração para 825 dias.
  • Em 2020, a indústria alcançou o padrão atual de 398 dias (aproximadamente 13 meses).

 

Essa redução gradual sublinha a crescente conscientização da comunidade de cibersegurança de que os certificados com longa duração apresentam riscos de segurança significativos. Cada redução sucessiva enfatizou a importância de equilibrar a segurança aprimorada com a viabilidade operacional. O período existente de 398 dias representa um compromisso crítico que permite às organizações estabelecer ciclos de renovação anuais gerenciáveis, ao mesmo tempo em que melhora a segurança em comparação com os períodos de validade anteriormente mais longos.

  

A Nova Onda de Reduções na Duração dos Certificados

A estabilidade relativa do período de 398 dias agora enfrenta desafios significativos de dois principais fornecedores de navegadores. Em março de 2023, os projetos Chromium do Google ganharam destaque ao anunciar a intenção de reduzir o período de validade máxima para certificados TLS públicos para apenas 90 dias. Essa iniciativa, parte da linha de ação “Moving Forward, together” do Google, indica uma mudança dramática na abordagem da indústria em relação à gestão de certificados.

Em contraste, a Apple adotou uma posição ainda mais assertiva. Durante uma reunião do CA/Browser Forum em outubro de 2023, a Apple apresentou um rascunho de voto que propunha uma redução gradual dos períodos máximos de validade dos certificados. Inicialmente voltada para alcançar 45 dias até 2027, a proposta da Apple foi atualizada para refletir um prazo e um período de validade ligeiramente estendidos. Essa evolução marca um momento crucial na forma como as organizações abordarão a gestão de certificados digitais no futuro.

A nova linha do tempo da Apple agora propõe:

  1. 15 de março de 2026: Validade máxima reduzida para 200 dias
  2. 15 de março de 2027: Redução adicional para 100 dias
  3. 15 de março de 2028: Redução final para 47 dias

 

Além disso, a proposta da Apple inclui uma redução gradual do período de reutilização da Validação de Controle de Domínio (DCV), que, a longo prazo, exigirá revalidação a cada 10 dias até o final de 2027 ou 2028. Este aspecto da proposta é particularmente significativo, pois afeta com que frequência a propriedade do domínio deve ser verificada.

Ao aumentar a frequência de revalidações, a Apple visa fortalecer as práticas de segurança relacionadas à gestão de domínios, garantindo que a legitimidade da propriedade do domínio seja mantida de forma consistente em um cenário de ameaças em constante evolução.

 

 

Por que as durações dos certificados estão sendo encurtadas?

A pressão por períodos de validade mais curtos para os certificados é impulsionada por várias considerações de segurança e operacionais convincentes:

Segurança Aprimorada Através da Exposição Reduzida

Durações mais curtas dos certificados reduzem significativamente a janela de oportunidade para os atacantes explorarem certificados comprometidos. Quando os certificados têm períodos de validação mais curtos, o dano potencial de uma chave privada comprometida é inerentemente limitado pela data de expiração do certificado. Essa restrição serve como um controle de segurança eficaz em uma era de ataques cada vez mais sofisticados.

 

Promoção da Automação e Melhores Práticas

Talvez o aspecto mais transformador das durações mais curtas dos certificados seja a capacidade de promover uma mudança significativa para longe da gestão manual de certificados. Tanto o Google quanto a Apple afirmaram explicitamente que um dos principais objetivos de suas propostas é encorajar as organizações a adotar práticas automatizadas de gerenciamento de certificados.

Com os certificados expirando com uma frequência muito maior, confiar em processos manuais torna-se cada vez mais insustentável. Essa realidade obriga as organizações a implementar soluções de automação para prevenir interrupções de serviço custosas e garantir a conformidade contínua com os padrões em evolução da segurança digital.

Aproveitar a automação não apenas torna o processo de gestão mais eficiente, mas também fortalece a defesa de uma organização em um ambiente de ameaças cibernéticas implacáveis.

 

Agilidade Criptográfica

O cenário da cibersegurança está em contínua evolução, caracterizado pelo surgimento de novas ameaças que muitas vezes tornam os padrões criptográficos mais antigos obsoletos. Durações mais curtas dos certificados facilitam uma adoção mais rápida de novos padrões e protocolos criptográficos, o que é particularmente crítico à medida que nos aproximamos do início da computação quântica.

Quando os certificados precisam ser renovados com mais frequência, todo o ecossistema pode se ajustar rapidamente a novas ameaças e padrões aprimorados, permitindo que as organizações permaneçam um passo à frente em suas medidas de segurança. Essa agilidade é essencial não apenas para manter defesas robustas, mas também para garantir resiliência frente a um ambiente de ameaças em constante mudança. Quando os certificados precisam ser renovados com mais frequência, todo o ecossistema pode se adaptar a ameaças emergentes e padrões melhorados a um ritmo muito mais rápido.

 

Redução da Dependência da Revogação

Os mecanismos atuais de revogação de certificados, como as Listas de Revogação de Certificados (CRLs) e o Protocolo de Status de Certificado Online (OCSP), apresentam limitações conhecidas em termos de desempenho e privacidade. Ao adotar durações mais curtas para os certificados, as organizações podem diminuir significativamente a dependência desses mecanismos de revogação, já que os certificados comprometidos naturalmente expirarão mais cedo.

Essa estratégia aborda eficazmente um desafio fundamental dentro do ecossistema de Infraestrutura de Chave Pública (PKI) enquanto evita a necessidade de alterações drásticas nas infraestruturas de revogação existentes. Dessa forma, durações mais curtas contribuem para um processo de gerenciamento de certificados mais eficiente e seguro, agilizando as operações enquanto aprimoram a segurança geral.

 

Alinhamento com o Controle de Domínio

Outra vantagem das durações mais curtas dos certificados é o melhor alinhamento entre a validade do certificado e a propriedade do domínio. À medida que os domínios frequentemente mudam de mãos e as organizações passam por reestruturações ou rebranding, durações mais curtas ajudam a garantir que os certificados reflitam com precisão o estado atual de propriedade do domínio.

Essa prática reduz significativamente o risco de os certificados permanecerem válidos muito tempo após as mudanças organizacionais terem ocorrido. Ao manter os certificados sincronizados com os últimos detalhes de propriedade, as organizações podem melhorar sua postura de segurança e minimizar o potencial de uso indevido associado a certificados desatualizados.

 

Os Desafios Operacionais das Durações Mais Curtas dos Certificados

Embora as vantagens de segurança das durações mais curtas dos certificados sejam evidentes, as implicações operacionais são substanciais e potencialmente disruptivas:

Aumento da Frequência de Renovação

O desafio mais evidente é o aumento significativo nas atividades de renovação de certificados. A transição de certificados com duração de 398 dias para certificados de 47 dias representa um aumento na frequência de renovação em mais de oito vezes. Para organizações que gerenciam milhares de certificados, isso representa um aumento considerável na carga de trabalho, se não for devidamente automatizado.

 

Risco de Interrupções e Falhas

As interrupções relacionadas a certificados já são um problema recorrente para muitas organizações. A expiração inesperada de um certificado TLS pode tornar websites inacessíveis, causar falhas em aplicações e interromper as operações comerciais. Com durações de certificados mais curtas, a probabilidade de tais interrupções aumenta proporcionalmente se os processos de gerenciamento de certificados não forem atualizados.

 

Restrições de Recursos para Organizações Menores

Enquanto grandes empresas frequentemente têm equipes dedicadas e ferramentas avançadas para a gestão de certificados, as organizações menores normalmente carecem desses recursos e podem achar difícil atender às exigências operacionais aumentadas associadas à gestão de certificados que têm durações significativamente mais curtas. Essa disparidade pode criar novas vulnerabilidades de segurança em todo o ecossistema digital.

 

Complexidade da Transição

A adaptação dos processos organizacionais, a atualização de ferramentas e o treinamento da equipe para acomodar ciclos de vida dos certificados mais curtos representam um desafio de transição substancial. Organizações acostumadas a ciclos de renovação anuais precisarão revisar fundamentalmente suas práticas de gerenciamento.

 

Preparando-se para o Futuro: Melhores Práticas para Adaptação

Dada a inevitabilidade de durações mais curtas dos certificados, as organizações devem começar a se preparar agora, em vez de esperar que essas mudanças se tornem obrigatórias. Aqui estão estratégias essenciais para se adaptar a essa nova realidade:

Adote a Automação como uma Necessidade

A etapa mais crítica é implementar uma automação abrangente do ciclo de vida dos certificados. A gestão manual de certificados simplesmente não será sustentável com durações de 47 dias ou mesmo 90 dias. Ferramentas de automação podem gerenciar todo o ciclo de vida do certificado, desde a geração de chaves e a submissão de CSR até a instalação e renovação. Essa abordagem não apenas reduz o risco de interrupções, mas também libera as equipes de TI de tarefas repetitivas e propensas a erros.

 

Estabeleça Visibilidade Completa dos Certificados

Você não pode gerenciar o que não pode ver. Muitas organizações carecem de visibilidade sobre seu inventário de certificados, com um estudo indicando que 62% dos entrevistados não sabem quantos certificados possuem. A implementação de ferramentas e processos para descobrir, monitorar e rastrear todos os certificados na organização é uma base essencial para uma gestão eficaz de certificados.

 

Desenvolva Sistemas de Alerta Robustos

Mesmo com automação, sistemas de monitoramento e alerta continuam sendo cruciais. Esses sistemas devem fornecer avisos antecipados para certificados que estão se aproximando da expiração, permitindo que as equipes solucionem quaisquer problemas antes que causem interrupções. Idealmente, os alertas devem ser multicanal e escalar de forma apropriada com base na criticidade do certificado e na proximidade da expiração.

 

Eduque as Partes Interessadas em Toda a Organização

A gestão de certificados não é apenas uma função de segurança de TI — ela afeta equipes de desenvolvimento, operações e até unidades de negócios que dependem de aplicações seguras por certificados. Educar as partes interessadas em toda a organização sobre a importância da gestão de certificados e as implicações das durações mais curtas ajuda a construir uma cultura de responsabilidade compartilhada.

 

Considere uma PKI Privada para Certificados Internos

Embora os certificados publicamente confiáveis estejam sujeitos aos períodos de validade exigidos pelos fornecedores de navegadores, os certificados internos gerenciados por uma PKI privada podem seguir regras diferentes. As organizações devem avaliar se alguns casos de uso seriam melhor atendidos por uma infraestrutura de PKI interna, que oferece mais flexibilidade na gestão dos ciclos de vida dos certificados.

 

O Futuro da Gestão de Certificados

A tendência em direção a durações mais curtas dos certificados não mostra sinais de reversão. De fato, em certos ambientes, como aplicações em contêiner e pipelines de DevOps, as durações dos certificados já são medidas em horas ou minutos, em vez de dias. Isso sugere que o futuro da gestão de certificados reside em sistemas totalmente automatizados e orientados por API, capazes de lidar com operações do ciclo de vida dos certificados em velocidade de máquina.

As organizações que se adaptarem com sucesso a essas mudanças não apenas obterão uma segurança aprimorada, mas também uma infraestrutura mais ágil e resiliente. A transição para a automação, embora inicialmente motivada pela necessidade, oferece, em última análise, benefícios operacionais que vão além da mera conformidade com os novos padrões.

 

Conclusão

A redução da duração dos certificados TLS representa tanto uma melhoria na segurança quanto um desafio operacional. Ao entender a lógica por trás dessas mudanças e implementar proativamente as estratégias discutidas acima, as organizações podem navegar por essa transição com sucesso, ao mesmo tempo em que fortalecem sua postura geral de segurança.

Embora o cronograma exato para essas mudanças ainda possa evoluir por meio de discussões da indústria e processos de aprovação formal, a direção é clara. Os períodos de validade dos certificados estão diminuindo, e as organizações que começarem a se preparar agora estarão bem posicionadas para lidar com essas mudanças sem interromper suas operações críticas.

A mensagem principal é que a automação não é mais opcional — é um componente essencial da gestão moderna de certificados. Ao abraçar essa realidade e investir em ferramentas e processos apropriados, as organizações podem transformar o que poderia ser um desafio de conformidade oneroso em uma oportunidade para aprimorar suas operações de segurança.

Fontes: 

https://github.com/cabforum/servercert/pull/553 

https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/ 

https://www.globalsign.com/en/blog/90-days-to-47-certificate-lifespans-and-automation  

https://scotthelme.co.uk/are-shorter-certificates-finally-coming/

https://www.darkreading.com/cybersecurity-operations/navigating-the-future-with-shorter-tls-lifespans