Em agosto de 2024, a Apple fez uma proposta (CA/Browser Forum Ballot SC-081v3) para reduzir drasticamente a vida útil dos certificados.Essa medida foi endossada pelos principais fabricantes de navegadores e autoridades certificadoras.Após meses de discussões, a medida agora é oficial.O CA/Browser Forum votou unanimemente para reduzir a vida útil do certificado de 398 dias para 47 dias até 2029, com mudanças significativas a partir de março de 2026.
Principais destaques deste anúncio
A medida visa fortalecer o sistema WebPKI, reduzindo significativamente a validade de todos os certificados emitidos por autoridades certificadoras públicas e incentivando a adoção da automação no gerenciamento de certificados.
A partir de março de 2026, as organizações terão que adotar gradualmente certificados de curta duração como parte de seus workflow.Além da redução da validade dos certificados, o período de reutilização da validação de controle de domínio (DCV) também será reduzido de 398 para 10 dias até 2029.
Veja o overview das mudanças e do cronograma envolvido:
Vida útil máxima do certificado
Período de reutilização da DCV
Mudança em vigor a partir de
398 dias
398 dias
Atual (Válido até 14 de marçode 2026)
200 dias
200 dias
15 de março de 2026
100 dias
100 dias
15 de março de 2027
47 dias
10 dias
15 de março de 2029
Cronograma de validade máxima do certificado SSL/TLS
A importância deste anúncio
Embora pareça uma mudança drástica, ela já estava em andamento há algum tempo.O Google propôs um prazo de validade de 90 dias para o certificado em 2023;a proposta recente da Apple apenas levou as coisas um pouco mais longe.No entanto, as organizações terão que lidar com a realidade e a importância dessa mudança agora.Então, o que muda agora?
Prepare-se para renovações frequentes
O que era apenas uma consideração até algumas semanas atrás, agora é uma obrigação.A partir de 15 de marçode 2026, as organizações devem se preparar para renovar seus certificados no mínimo duas vezes por ano, e isso se torna cada vez mais desafiador.Para colocar as coisas em perspectiva, até 15 de marçode 2029, as organizações terão que renovar seus certificados no mínimo oito vezes por ano.
Cronograma
Número mínimo de renovações por ano
Até março de 2026
~ Uma vez
Desde 15 de marçode 2026
~ Duas vezes
15 de marçode 2027
~ Quatro vezes
15 de março de 2029
~ Oito vezes
Adote a automação
Junto com essa mudança, o período de reutilização do DCV também será reduzido para cerca de 10 dias até 15 de marçode 2029.Isso significa que as organizações terão que passar por todo o processo de validação, validando seu domínio ou endereço IP com muito mais frequência.Dada a frequência crescente da DCV e a vida útil geral reduzida dos certificados TLS, a automação se tornará ainda mais crítica para gerenciar certificados com eficiência e evitar tempo de inatividade.
Sem mudança nos custos
Apesar da frequência crescente de renovações, o valor gasto com certificados deve permanecer o mesmo.Várias autoridades certificadoras oferecem cobertura de um ou vários anos para certificados e os renovam (reemitem) sem custo adicional.Isso significa que você paga apenas pelo período de cobertura.
Cronograma das principais propostas e votações de validade SSL/TLS
Por que a validade dos certificados está diminuindo?
Se você está se perguntando por que isso está acontecendo, a razão é garantir que a WebPKI esteja protegida e que a automação seja adotada para tornar todo o processo eficiente e contínuo.
Maior segurança
O principal motivador dessa mudança é aprimorar a segurança online, reduzindo a janela de oportunidade para que agentes de ameaças explorem certificados e chaves privadas comprometidos.Vidas de certificado mais curtas limitam o tempo durante o qual uma chave privada comprometida pode ser usada indevidamente por um invasor durante ataques como o do tipo manipulador intermediário, minimizando os possíveis danos.
Adoção de melhores práticas
Para se adaptar a um mundo onde oito renovações de certificados por ano serão a norma, as organizações devem adotar o gerenciamento automatizado de certificados na forma do ACME para reduzir erros humanos e minimizar o tempo de inatividade.Essa transição não apenas facilitará a vida, mas também incutirá as melhores práticas de gerenciamento de certificados em larga escala.
Minimize a dependência de mecanismos de revogação
As verificações de revogação padrão apresentam problemas inerentes, como atrasos na atualização de listas de revogação de certificados ou respostas OCSP, aplicação inconsistente, onde os clientes podem "falhar levemente" e aceitar certificados apesar das verificações com falha, e bloqueios de rede que impedem o acesso aos servidores de revogação.Validades mais curtas aliviam a necessidade de depender exclusivamente desses mecanismos e podem atuar como uma opção confiável à prova de falhas.
Revalidação frequente
O Fórum CA/B argumenta que as informações nos certificados se tornam menos confiáveis com o tempo, sendo necessária uma revalidação mais frequente para manter a precisão.Ao reduzir a vida útil máxima do certificado para 47 dias, os Requisitos de base forçariam inerentemente os assinantes a passar por esse processo de validação com mais frequência, resultando em maior segurança para as partes confiáveis de que a entidade que apresenta o certificado controla atualmente o domínio.
Rumo à agilidade em criptomoedas
O gerenciamento manual de certificados em breve se tornará obsoleto, dada a frequência das atualizações de certificados.À medida que as organizações fortalecem seus sistemas de automação e essas soluções se tornam a norma, o ecossistema se tornará mais ágil na resposta a futuras vulnerabilidades criptográficas.A agilidade em criptomoedas garantirá transições frequentes e sem complicações para novos algoritmos, rotação de chaves mais rápida e melhor gerenciamento, todos vitais em um mundo pós-quântico.
Impactos da adaptação a uma vida útil mais curta dos certificados
Nem é preciso dizer que essa mudança terá impactos significativos nas organizações, especialmente naquelas que dependem de práticas manuais de gerenciamento de certificados.
Aumento da carga de trabalho
As equipes de TI, segurança, infraestrutura de chaves públicas (PKI), DevOps e aplicações, bem como qualquer outra equipe que lide com certificados, enfrentarão um aumento substancial na carga de trabalho.
Interrupções inesperadas
Organizações com um grande número de sites e sistemas públicos que dependem de certificados TLS podem sofrer cada vez mais interrupções de serviço e interrupções inesperadas.
Implicações do gerenciamento de mudanças
Os processos de gerenciamento de mudanças existentes para renovações de certificados precisarão ser adaptados para lidar com o volume e a frequência muito maiores de renovações de certificados.
Preparação para a validade do certificado de 47 dias
A redução da validade do certificado TLS para 47 dias até 2029 representa uma mudança significativa, no mínimo.As organizações devem começar hoje mesmo e planejar e implementar proativamente estratégias de automação para gerenciar essa mudança de forma eficaz.
01. Comece com as políticas
O primeiro passo é estabelecer políticas claras de PKISem clareza interna, qualquer mudança tecnológica pode se tornar caótica.Ao assumir total responsabilidade pela governança dos certificados digitais e seu ciclo de vida da maneira correta, é possível designar funções e ações adequadamente dentro da sua organização.
02. Audite seu ambiente
Sem conhecer todos os certificados TLS/SSL utilizados em sua organização, a transição para certificados de curta duração pode ser um pesadelo.Comece contabilizando cada certificado em sua empresa e gerencie-os a partir de um repositório central de certificados.
03. Alertas e monitoramento
Configure o monitoramento em tempo real para verificar a expiração do certificado e garantir que alertas oportunos estejam disponíveis.Isso é tão importante quanto ter um inventário de certificados.
04. A automação é sua amiga
Mesmo duas renovações por ano a partir de março de 2026 aumentarão a probabilidade de interrupções e custos administrativos.Prepare-se para a mudança hoje mesmo, adotando soluções de gerenciamento do ciclo de vida do certificado. Elas automatizam todas as etapas do gerenciamento de PKI, desde a descoberta e emissão até a renovação e o provisionamento.
05. Utilize o protocolo ACME
Embora possam existir lacunas, o protocolo Automated Certificate Management Environment (ACME) potencializa o gerenciamento automatizado de certificados.Implemente o protocolo ACME para agilizar a emissão e renovação de certificados de diversas autoridades certificadoras.
06. Integre-se ao seu ecossistema
Expanda ainda mais a automação e integre o gerenciamento de certificados aos pipelines de DevOps para garantir que os certificados sejam tratados com eficiência como parte dos processos de desenvolvimento e implementação de software.
07. Traga todos a bordo
Não há nada como ter todos os departamentos importantes a bordo ao aderir à nova exigência.O esforço de todos os envolvidos nas equipes de TI, segurança, DevOps, PKI e aplicações, bem como de outras equipes, é essencial.Oriente a equipe sobre a importância dessa mudança para que a transição seja tranquila.
Faça a transição com o Key Manager Plus
Mudanças podem ser estressantes.Estamos aqui para garantir que não sejam.O Key Manager da ManageEngine possibilita a automação completa do ciclo de vida do certificado, de ponta a ponta, com funções automatizadas de descoberta, renovação e implementação.O Key Manager Plus também se integra a todas as principais autoridades de certificação públicas, para que você possa começar imediatamente.Para seus casos de uso internos, também é possível criar autoridades de certificação privadas para emitir e gerenciar seus certificados internos.De qualquer forma, nós cobrimos todos os seus casos de uso de certificado.