Por John Murray
Em uma reunião recente com um cliente corporativo que por acaso é uma empresa que figura na lista da Fortune 50, a conversa rapidamente se voltou para os muitos desafios tecnológicos que uma corporação como a deles enfrenta.
Esta é uma empresa muito grande que emprega mais de 200 mil pessoas em todo o mundo. Além disso, a tecnologia em que se baseia é mais antiga, o que dificulta alcançar os requisitos de segurança.
Uma parte desse desafio está ligada à necessidade de cumprir certas regras e regulamentos. Algumas dessas regras incluem aderir ao que são essencialmente regras estabelecidas por navegadores web desenvolvidos pela Apple, Google, Microsoft e Mozilla.
Mudanças
Não há como ignorar o fato de que nos últimos anos a Apple e outros navegadores exigiram essencialmente que todas as autoridades de certificação, incluindo a GlobalSign, reduzissem gradualmente o ciclo de vida de seus certificados digitais. Tudo em nome, naturalmente, de maior segurança.
Por exemplo, em 2020, a Apple anunciou, sem aviso prévio, em fevereiro na CA/Browser Forum que – ao invés de seguir o protocolo padrão de convocar uma votação em conjunto com outros desenvolvedores de navegadores web e autoridades certificadoras, decidiu, de forma arbitrária, que adotaria uma política de validade de certificados de 398 dias em todos os devices produzidos pela empresa. Mozilla e Google logo seguiram o exemplo. Como resultado, a partir de 1º de setembro de 2020, navegadores e dispositivos da Apple, Google e Mozilla começaram a apresentar erros para novos certificados TLS com vida útil superior a 398 dias.
Agora, mais mudanças serão adotadas este ano. A partir de 1º de abril, os Certificadores de Autoridade que oferecem certificados Secure/Multipurpose Internet Mail Extensions (S/MIME) devem diminuir sua validade para 825 dias.
Vale notar que os certificados S/MIME anteriormente não tinham um limite superior “rígido” para serem considerados publicamente confiáveis, mas na maioria dos clientes de e-mail um certificado superior a 1025 dias não era confiável. Mas mesmo que isso ocorresse, não era uma violação do armazenamento raiz. Isso é o que há de realmente novo nas regras da Apple – se um certificado for emitido com uma validade superior a 825 dias, isso pode configurar um motivo para ter seu certificado raiz removido pela loja da Apple. Você certamente não quer que isso aconteça.
Além disso, os navegadores também possuem um consenso sobre os ciclos de vida dos certificados, quanto maior a extensão da validade desses certificados, mais vulneráveis eles serão. Como resultado, pode ser muito mais fácil que sejam comprometidos. Isso pode ocorrer porque alguém simplesmente esqueceu de revogá-los ou a pessoa que emitiu os certificados deixou a empresa. Após uma infinidade de incidentes, os navegadores pressionaram para alterar para períodos de validade mais curtos.
Obviamente, isso afeta as CAs, no entanto, quem é realmente muito impactado são empresas como nosso cliente da Fortune 50, que também deve acompanhar as intermináveis mudanças de regras sobre as quais, literalmente, não têm controle. Organizações menores e menos complexas, sem dúvida, também serão afetadas. No entanto, por serem menores, podem ser mais ágeis e capazes de se adaptar mais rapidamente às mudanças do setor. No entanto, vimos que também pode ser muito incômodo para empresas menores, com equipes reduzidas e com menos experiência em gerenciamento de ciclo de vida de certificados.
Para as empresas esta é uma tarefa hercúlea – e por causa disso, as desvantagens serão significativas. Ser capaz de substituir dezenas ou mesmo centenas de milhares de certificados em um curto período de tempo, regularmente, será quase impossível. E se os navegadores reduzirem ainda mais a vida útil dos certificados, será um fardo ainda maior para as grandes organizações. Acrescente o fato de que há uma equipe limitada com profundo conhecimento da Infraestrutura de Chave Pública (PKI), a tecnologia por trás dos certificados digitais.
Meus colegas que estão próximos da “política” em torno de certificados me informam que o futuro provavelmente nos trará certificados de vida ainda mais curtos, ampliando ainda mais os desafios. Na opinião deles, precisamos ensinar os clientes a serem mais “ágeis”. Isso está se tornando um requisito e não uma opção. A rotação de material de chave intermediária para certos tipos de certificados está acontecendo a cada três meses para algumas soluções. Como componente crítico da cadeia de confiança, você precisa se adaptar para enviá-los facilmente para sua infraestrutura.
Como diz a expressão, “Houston, temos um problema”. A única solução real para gerenciar essa mudança constante para permitir a “agilidade criptográfica” é a automação.
Aceitando a necessidade de automação
Sabemos que as empresas simplesmente não conseguem escalar o suficiente para atender a esses requisitos. É por isso que várias empresas oferecem soluções de automação para ajudar a gerenciar os ciclos de vida dos certificados.
Infelizmente, todas as empresas devem aceitar a realidade de que essas ferramentas são uma necessidade absoluta. Porque, sem elas, muitos problemas decorrentes de questões de ciclo de vida se apresentarão, como expirações de certificados – cujos resultados vão desde uma redução na confiança à um declínio nas vendas e receitas de uma empresa, como uma taxa maior no abandono de carrinho de compras, além de prejudicar a marca e a reputação corporativa, colocando o negócio em risco.
Por exemplo, incidentes no ano passado ocorreram no Google Voice, Epic Games e Amex, quando expirou o certificado do Google Pay no verão passado. Voltando a 2018 – quando os ciclos de vida eram muito mais longos do que são agora – as expirações de certificados ocorreram no LinkedIn, Pokemon Go, no Partido Conservador do Reino Unido e até na Casa Branca. Portanto, este é claramente um problema de longa data que não se limita a um tipo de empresa ou organização. Está em toda parte e isso não mudará a menos que uma abordagem diferente seja adotada.
À medida que começamos o novo ano, certifique-se de que a automação de certificados esteja no topo da sua lista. Não importa qual fornecedor você escolher, você e seus clientes estarão em uma situação mais confortável a longo prazo.
*John Murray, Vice-presidente de Vendas para as Américas na GMO GlobalSign
