2023/03/16

Google quer certificados TLS com validade de 90 dias

A Google quer reduzir a validade dos certificados TLS, usados para comunicações seguras, para 90 dias.

Os certificados TLS são parte crítica do sistema que possibilita comunicações seguras através de canais inseguros, sendo utilizados sempre que visitamos um site com HTTPS (mas não só) e vemos o indicador do "cadeado" no browser.

Actualmente a validade máxima desses certificados é de 13 meses, um valor que a Google considera excessivo e desajustado nos dias de hoje, em que os riscos de segurança são constantes. E por isso, faz a proposta para que a sua validade máxima seja reduzida para 90 dias (3 meses). Estes certificados de duração mais reduzida dificultam a vida a atacantes, e reduz a probabilidade de exposição dos utilizadores a certificados que tenham sido considerado inseguros mas ainda tenham a sua validade activa.

Isto obrigaria as empresas a implementar sistemas para lidar com a renovação dos certificados de forma mais frequente - passando de menos de uma vez por ano para quatro vezes por ano - mas é algo que os especialistas de segurança consideram ser imprescindível. De resto, tendo em conta a quota de mercado que o Chrome tem, se a Google definir que o Chrome só aceita uma validade máxima de 90 dias nos certificados, acaba por ter o efeito prático de obrigar tudo e todos a seguirem esta regra. Mas, de momento, nada indica que vá recorrer a essa técnica de pressão, fazendo a proposta para aprovação seguindo os trâmites habituais.

1 comentário:

  1. A tendência é para que os certificados só durem 7 dias ou menos... e ainda assim só porque querem prevenir que problemas na infra-estrutura impeçam os web sites de funcionar.

    ResponderEliminar