Os certificados TLS são parte crítica do sistema que possibilita comunicações seguras através de canais inseguros, sendo utilizados sempre que visitamos um site com HTTPS (mas não só) e vemos o indicador do "cadeado" no browser.
Actualmente a validade máxima desses certificados é de 13 meses, um valor que a Google considera excessivo e desajustado nos dias de hoje, em que os riscos de segurança são constantes. E por isso, faz a proposta para que a sua validade máxima seja reduzida para 90 dias (3 meses). Estes certificados de duração mais reduzida dificultam a vida a atacantes, e reduz a probabilidade de exposição dos utilizadores a certificados que tenham sido considerado inseguros mas ainda tenham a sua validade activa.
Isto obrigaria as empresas a implementar sistemas para lidar com a renovação dos certificados de forma mais frequente - passando de menos de uma vez por ano para quatro vezes por ano - mas é algo que os especialistas de segurança consideram ser imprescindível. De resto, tendo em conta a quota de mercado que o Chrome tem, se a Google definir que o Chrome só aceita uma validade máxima de 90 dias nos certificados, acaba por ter o efeito prático de obrigar tudo e todos a seguirem esta regra. Mas, de momento, nada indica que vá recorrer a essa técnica de pressão, fazendo a proposta para aprovação seguindo os trâmites habituais.
A tendência é para que os certificados só durem 7 dias ou menos... e ainda assim só porque querem prevenir que problemas na infra-estrutura impeçam os web sites de funcionar.
ResponderEliminar