Valabilitatea certificatelor digitale (TLS – Transport Layer Security) va scădea treptat în următorii patru ani, acestea ajungând să expire în doar 47 de zile până în 2029.
Certificatele TLS joacă un rol esențial în securizarea comunicațiilor într-o rețea precum internetul public, asigurând criptarea datelor și autentificarea site-urilor web sau a dispozitivelor.
Prin criptarea datelor, informațiile sensibile precum parolele și cardurile bancare sunt transmise în siguranță și nu pot fi interceptate de către un atacator de pe traseu.
În cazul site-urilor, un certificat digital garantează utilizatorilor că schimbul de informații se face către un server autentic și nu către unul falsificat de cibercriminali.
CA/Browser Forum
Perioada de valabilitate a unui certificat TLS/SSL este în prezent de 398 de zile, dar până în 2029 acestea vor trebui înlocuite la fiecare 47 de zile.
Certification Authority Browser Forum – organizația responsabilă cu emiterea și administrarea certificatelor digitale – a votat recent scăderea treptată a perioadei de expirare.
CA/Browser Forum este un consorțiu de autorități de certificare (CA – Certificate Authority) și furnizori de software care colaborează pentru stabilirea și menținerea standardelor de securitate pentru certificatele digitale.
Printre membrii CA/Browser Forum se numără organizații importante precum DigiCert, GlobalSign, Google, Apple, Mozilla, Microsoft, Sectigo, Let’s Encrypt, Visa, Amazon și GoDaddy.
Avantajele deciziei
Motivul deciziei este încurajarea utilizatorilor să adopte automatizarea reînnoirii certificatelor TLS pentru a reduce riscurile asociate cu certificatele expirate, compromise sau furate.
Astfel, un atacator va avea mai puțin timp la dispoziție să exploateze un certificat obținut ilegal.
Pe măsură ce un certificat se apropie de data de expirare, șansele ca acesta să fie compromis cresc, mai ales dacă sunt utilizați algoritmi criptografici depășiți.
Etapizarea reducerii duratei de valabilitate
Cei 30 de membri CA/Browser Forum cu drept de vot au decis în unanimitate pe 13 aprilie ca perioada de expirare a unui certificat TLS să fie redusă treptat până pe 15 martie 2029, după următorul plan:
- 15 martie 2026: valabilitatea va fi redusă la 200 de zile
- 15 martie 2027: valabilitatea scade la 100 de zile
- 15 martie 2029: valabilitatea finală va fi de 47 de zile, iar cea a controlului domeniului (DCV – Domain Control Validation) la fiecare 10 zile
Reducerea treptată oferă suficient timp companiilor să adopte soluții automate pentru reînnoirea certificatelor, asigurând astfel o tranziție lină către noile standarde.
De asemenea, revalidarea frecventă forțează companiile să adopte cele mai recente standarde de securitate, aliniindu-se astfel la cerințele pieței și protejându-și utilizatorii.
Provocări pentru administratori și organizații
Această decizie aduce și câteva probleme, mai ales administratorilor de site-uri și organizațiilor care gestionează multiple domenii, reînnoirea certificatelor devenind o sarcină esențială ce necesită resurse suplimentare.
O soluție este introducerea unor procese automate de reînnoire pentru a menține integritatea și securitatea operațiunilor.
Let’s Encrypt este un exemplu în acest sens, utilizând protocolul ACME pentru automatizare, pe lângă oferta de certificate gratuite.
Alegerea soluției potrivite depinde de infrastructura specifică și de nevoile de securitate ale fiecărei companii.
Prin automatizare, administrarea certificatelor devine mai simplă și mai sigură, asigurând continuitatea protecției datelor online.
Pe lângă automatizarea reînnoirii, gestionarea eficientă a certificatelor TLS ar trebui să includă și un sistem de alertă pentru certificatele care urmează să expire.
