Algumas pessoas ainda se recordarão dos tempos em que a web era dominada por ligações inseguras, e obter um certificado para ter uma ligação segura (HTTPS) era um processo dispendioso e ultra-complexo. A Let's Encrypt veio mudar isso disponibilizando certificados gratuitos, e tendo papel fundamental em fazer com que a web, actualmente, seja maioritariamente composta por sites com ligações seguras.
Em 2015, o serviço já tinha avançado com a alteração ousada de optar por certificados com validade de 90 dias, mas agora faz novo ajuste para reforçar a segurança na era moderna, com certificados com validade de 6 dias.
Tempos de validade mais curtos incentivam a automação total do processo, essencial para garantir que toda a web esteja protegida por HTTPS. Josh Aas, director executivo do Let’s Encrypt, sempre defendeu que a renovação manual de certificados é insustentável. Se a renovação estiver automatizada, um certificado de seis dias não será mais difícil de gerir do que um de 90 dias. Enquanto isso - e demonstrando a disparidade que ainda ocorre - o resto da indústria ainda debate a redução da validade dos certificados de 398 para 200 dias.
Os certificados de curta duração oferecem inúmeras vantagens face aos de validade mais longa: em caso de serem comprometidos, fazem com que os atacantes tenham uma janela de tempo muito menor para tirarem partido disso; também tornam dispensável o processo tradicional de revogação de certificados, em que as empresas e browsers têm que manter e distribuir listas de certificados que foram comprometidos.
Veremos quanto tempo irá demorar para que, eventualmente, se possam ter certificados com validade de 24 horas, para utilização em sites cujo acesso possa ser considerado de importância crítica.
Sem comentários:
Enviar um comentário (problemas a comentar?)