90 dias: Os impactos de um novo prazo de validade de certificados digitais

Luiza Dias é presidente da GlobalSign Brasil, única mulher latino-americana a ocupar esta posição em uma Autoridade Certificadora de Raiz Internacional

Com o avanço das tecnologias, a internet foi ganhando espaço em nossas rotinas e hoje é acessada por cerca de 5,3 bilhões de pessoas, de acordo com a ONU. Diante desse cenário, a segurança do ambiente virtual tem estado em pauta entre empresas e especialistas, já que a tendência é que cada vez mais processos tramitem digitalmente. 

Nesse ínterim, a Google está propondo que os certificados públicos digitais Secure Sockets Layer (SSL) e Transport Layer Security (TLS) – ferramentas que imprimem identidade e segurança aos sites – passem a ter validade de 90 dias. Atualmente, o prazo é de até 398 dias. Segundo a empresa, isso exigirá maior atenção das instituições para manter a consistência nos critérios de segurança. A expectativa é que a mudança ocorra em 2024. 

Houve uma época em que os certificados digitais podiam ser válidos por até cinco anos. No entanto, as falhas em segurança e vulnerabilidade dos sites evidenciaram a necessidade de atualizá-los mais constantemente. 

Qual o impacto da alteração? 

Quanto mais tempo um certificado permanece válido, menos confiável ele se torna. Quando um site é acessado, o navegador baixa automaticamente os certificados SSL/TLS, verifica se são confiáveis e se conecta com segurança.  

Sob a perspectiva dos responsáveis pela troca dos certificados, a situação é mais complexa. A necessidade de atualização frequente demandará automatização para que os sites mantenham-se operantes, sem intercorrências como travamentos. 

Em um workshop organizado pela Anatel este ano, o Superintendente de Outorga e Recursos à Prestação da Agência, Vinicius Caram, mencionou que o Brasil é um dos países que mais sofre ataques cibernéticos no mundo. “Em 2022 sofremos mais de 100 bilhões de ataques, principalmente visando tentativas de roubos de dados”, comentou. Frente a esse contexto, é importante ressaltar a necessidade de manter os critérios de segurança cibernética reforçados. 

O que pode ser feito? 

Felizmente, soluções de automação melhoraram muito nos últimos anos. O Internet Security Research Group (ISRG) originou o protocolo Automated Certificate Management Environment (ACME). De forma simplificada, o ACME é um protocolo que facilita a comunicação entre uma Autoridade Certificadora (AC) e um agente instalado em um servidor web.  

Tendo em vista a especialização da GlobalSign em segurança cibernética, nós contamos com o serviço ACME aprimorado para promover mais do que certificados validados por domínio (DV) de código aberto. Nosso serviço ACME pode emitir certificados SSL/TLS validados por domínio e organização (OV) e é respaldado por toda a experiência, suporte e Acordos de Nível de Serviço (SLAs). 

Enquanto o prazo final não é estabelecido para que as mudanças sejam implementadas, é importante manter o assunto no radar. Não há dúvidas de que o tema impactará o mercado e principalmente o consumidor, em se tratando da sua segurança na internet.