����TV

O CA/Browser Forum votou oficialmente para definir um cronograma para reduzir a vida útil de certificados TLS e a reutilização das informações validadas pelo CA nos certificados. Os primeiros impactos da votação sobre o usuário ocorrem em março de 2026.

A votação foi há muito discutida no CA/Browser Forum e passou por várias versões, incorporando feedback das autoridades certificadoras e seus clientes. O período de votação terminou em 11 de abril de 2025, fechando um capítulo disputado e permitindo que o mundo dos certificados se planeje para o que vem a seguir.

O novo cronograma de vida útil de certificados TLS

A nova votação tem como meta a validade do certificado de 47��dias, tornando a ���ܳٴdz���çã�� essencial. Antes dessa proposta feita pela Apple, o Google promoveu uma vida útil máxima de 90��dias, mas eles votaram a favor da proposta da Apple quase imediatamente após o início do período de votação.

Este é o cronograma:

• A vida útil máxima do certificado está diminuindo:

  • Até 15 de março de 2026, a vida útil máxima para um certificado TLS é de 398��dias.
  • A partir de 15 de março de 2026, a vida útil máxima para um certificado TLS será de 200��dias.
  • A partir de 15 de março de 2027, a vida útil máxima de um certificado TLS será de 100��dias.
  • A partir de 15 de março de 2029, a vida útil máxima de um certificado TLS será de 47��dias.

  ��

• O período máximo durante o qual as informações de validação de domínio e endereço IP podem ser reutilizadas está diminuindo:

  • Até 15 de março de 2026, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 398��dias.
  • A partir de 15 de março de 2026, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 200��dias.
  • A partir de 15 de março de 2027, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 100��dias.
  • A partir de 15 de março de 2029, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 10��dias.

• Até 15 de março de 2026, as validações das Informações de Identidade do Participante (SII) só podem ser reutilizadas por 398��dias, e não mais 825��dias. SII é o nome da empresa, e outras informações encontradas em um certificado OV (Organization Validated) ou EV (Extended Validation), ou seja, tudo, exceto o nome de domínio ou endereço IP protegido pelo certificado. Isso não afeta os certificados DV (Domain Validated), que não têm SII.

  ��

Por que 47��dias?

47��dias podem parecer um número arbitrário, mas é uma sequência simples:

• 200��dias = 6��meses máximos (184��dias) + 1/2 mês de 30��dias (15��dias) + 1��dia de margem de manobra
• 100��dias = 3��meses máximos (92��dias) + ~1/4 mês de 30��dias (7��dias) + 1��dia de margem de manobra
• 47��dias = 1 mês máximo (31��dias) + 1/2 mês de 30��dias (15��dias) + 1��dia de margem de manobra

Justificativa da Apple para a mudança

Na votação, a Apple apresenta muitos argumentos em favor das mudanças, uma das quais vale mais a pena destacar. Eles afirmam que o CA/B Forum tem dito ao mundo há anos, ao encurtar constantemente os tempos de vida máximos, que a ���ܳٴdz���çã�� é essencialmente obrigatória para o gerenciamento eficaz do ciclo de vida dos certificados.

A proposta colocada em votação argumenta que vidas mais curtas são necessárias por muitos motivos, sendo o mais proeminente o seguinte: As informações nos certificados estão se tornando cada vez menos confiáveis ao longo do tempo, um problema que só pode ser mitigado revalidando as informações com frequência.

A proposta colocada em votação também argumenta que o sistema de revogação usando CRLs e OCSP não é confiável. Na verdade, os navegadores muitas vezes ignoram esses recursos. A proposta tem uma longa seção sobre as falhas do sistema de revogação de certificados. Vidas mais curtas reduzem os efeitos do uso de certificados possivelmente revogados. Em 2023, o CA/B Forum levou essa filosofia a outro nível, aprovando certificados de curta duração, que expiram em 7��dias e que não exigem suporte CRL ou OCSP.

Esclarecer a confusão sobre as novas regras

Dois pontos sobre as novas regras provavelmente causarão confusão:

1. Os três anos para as mudanças nas regras são 2026, 2027 e 2029, mas a diferença entre o segundo conjunto de anos é de dois anos.
2. A partir de 15 de março de 2029, a vida útil máxima para um certificado TLS será de 47��dias, mas o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de apenas 10��dias. A revalidação manual ainda será tecnicamente possível, mas isso abriria caminhos para falhas e interrupções.

Como autoridade de certificação, uma das perguntas mais comuns que ouvimos dos clientes é se eles terão que pagar mais para substituir os certificados com mais frequência. A resposta é não. O custo é baseado em uma assinatura anual, e o que aprendemos é que, uma vez que os usuários adotam a ���ܳٴdz���çã��, eles geralmente mudam voluntariamente para ciclos de substituição de certificados mais rápidos.

Por esse motivo, e como até mesmo as alterações de 2027 nos certificados de 100��dias tornarão os procedimentos manuais insustentáveis, esperamos a rápida adoção da ���ܳٴdz���çã�� muito antes das alterações de 2029.

A declaração da Apple sobre o gerenciamento automatizado do ciclo de vida dos certificados é indiscutível, mas é algo para o qual estamos nos preparando há muito tempo. A ����TV oferece várias soluções de ���ܳٴdz���çã�� por meio do Trust Lifecycle Manager e do CertCentral, inclusive suporte para ACME. O ACME da ����TV permite a ���ܳٴdz���çã�� de certificados DV, OV e EV, e inclui suporte para informações de renovação ACME (ARI).

Entre em contato para obter mais informações sobre como fazer o melhor uso da ���ܳٴdz���çã��.

Os avanços mais recentes em confiança digital

Quer saber mais sobre tópicos como gerenciamento de certificados, ���ܳٴdz���çã�� e TLS/SSL? Assine o blog da ����TV para ter certeza de que vai estar sempre por dentro de tudo.