O período máximo de validade dos certificados de servidor Web (certificados TLS) emitidos a partir de hoje passa a ser de 398 dias (13 meses), menos de metade do período de validade máximo até à data (825 dias ou 27 meses). Todos os certificados que sejam emitidos com um período maior validade passam a ser rejeitados pela Apple, Google e Mozilla (que afeta Safari, Chrome, Edge e Firefox), num movimento que visa aumentar a segurança dos sites web.

As conexões com os servidores TLS que não estejam de acordo este novo requisito irão ser rejeitadas (a Google indicou que o Chrome apresentará o erro “ERR_CERT_VALIDITY_TOO_LONG"), o que impedirá o carregamento do site. Para evitar consequências indesejadas, a Apple recomenda que os certificados sejam emitidos com validade máxima de 397 dias.

1. Histórico

O período máximo de validade dos certificados de servidor Web (certificados SSL/TLS) diminuiu significativamente na última década.

1.1 CAB Forum

O ‘CAB Forum’ é a entidade (constituída por um consórcio de entidades de certificação e fornecedores de software de browser) que regulamenta o modo como as entidades de certificação emitem e gerem os certificados de servidor Web, através das regras estabelecidas no documento de Baseline Requirements (BR).

A primeira restrição ao período máximo de validade dos certificados de servidor Web foi efetuada pelo ‘CAB Forum’ na primeira versão do BR, adoptado a 22/Nov/2011 (entrou em vigor a 1/Jul/2012), que na secção 9.4 indicava o seguinte:

Certificates issued after the Effective Date MUST have a Validity Period no greater than 60 months.

Três anos após (2015), o ‘CAB Forum’ aprovou uma nova redução no período máximo de validade, que passou a ser de 39 meses:

Except as provided for below, Certificates issued after 1 April 2015 MUST have a Validity Period no greater than 39 months.

Em 2017, o ‘CAB Forum’ não aprovou a redução do período máximo de validade para 398 dias (proposta efetuada pela Google), mas aprovou a redução para 825 dias - cerca de 27 meses - (com entrada em vigor em Março de 2018).

1.2 Apple

Em Março deste ano, a Apple anunciou que a partir de 1 de Setembro só passaria a aceitar certificados de servidor emitidos (a partir dessa data) com um período máximo de validade de 398 dias (13 meses). A Mozilla e a Google anunciaram posteriormente que iriam impôr as mesmas regras, que passam assim a ser válidas para Safari, Chrome, Edge e Firefox.

2. Segurança

À primeira vista, pode parecer que períodos mais curtos de validade dos certificados não são mais do que um incómodo, já que obrigam a renová-los com mais frequência. Contudo existem benefícios reais do ponto de vista de segurança:

• Melhora a segurança do site, já que reduz o período durante o qual certificados comprometidos ou falsos podem ser explorados em ataques de phishing e malware.
• Reduz a janela de oportunidade para ataques através das versões móveis do Chrome e Firefox, já que as versões móveis destes browsers não verificam o estado do certificado devido a restrições de desempenho, pelo que carregam sites com certificados revogados sem avisar o utilizador.

3. Oportunidade

A evolução da redução do período máximo de validade dos certificados de servidor Web pode ser uma oportunidade para iniciar a utilização de ferramentas automáticas de certificados, como o Let’s Encrypt e CertBot, que permitem configurar, emitir, renovar e substituir certificados TLS sem intervenção manual (para além do certificado ser emitido a custo zero).

---

Referências:

• Maximum Lifespan of SSL/TLS Certificates is 398 Days Starting Today
• New SSL/TLS Certificates Lifespan: Why Capping Certificate validity improve security?
• Reduced lifespan of TLS certificates could cause increase in outages