A partir del 1 de septiembre, los certificados SSL / TLS no pueden emitirse por más de 13 meses (397 días). Este cambio fue anunciado por primera vez por Apple, en el evento cara a cara de CA / Browser Forum Spring en Bratislava en marzo.
Luego, la semana pasada, en el evento de verano del Foro CA/B (realizado virtualmente), Google anunció su intención de combinar los cambios de Apple con su propio programa raíz.
También hay una boleta de votación impulsada por el navegador que busca alinear los requisitos básicos de la industria con los nuevos cambios del programa raíz. Ese tema está siendo debatido actualmente por el Foro.
Desde un punto de vista teórico de alto nivel, existen dos beneficios principales para los certificados de vida más corta:
El primero es el componente técnico: una vida útil más larga significa que lleva más tiempo implementar actualizaciones o cambios de forma orgánica. Un ejemplo del mundo real sería la transición de SHA1 a SHA2. A menos que vayas a revocar una gran cantidad de certificados y obligar al cliente a volver a emitir, pueden pasar años antes de que se reemplacen todos los certificados anteriores. En el caso de SHA1, tomó tres. Eso crea riesgo.
El otro beneficio tiene que ver con la identidad: ¿cuánto tiempo debe permanecer confiable la información utilizada para validar una identidad? Cuanto más tiempo entre la validación, mayor es el riesgo. Google ha dicho que en un mundo ideal la validación del dominio ocurriría aproximadamente cada seis horas.
Antes de 2015, podría obtener un certificado SSL / TLS emitido por hasta cinco años. Eso se redujo a tres, y nuevamente en 2018 a dos. A finales de 2019, se propuso una votación en el Foro CA/B que la habría reducido a un año; las Autoridades de Certificación rechazaron enérgicamente.
Lo primero es lo primero, esto entrará en vigencia el 1 de septiembre de 2020. Por lo tanto, si estás utilizando un certificado de dos años emitido antes del 1 de septiembre, tu certificado seguirá siendo válido hasta tu fecha de vencimiento original. Simplemente no podrá renovar durante dos años en adelante.
O para decirlo de otra manera, tienes hasta el primero de septiembre para obtener certificados de dos años. Después de eso serán relegados a la papelera de reciclaje de escritorio de la historia.
Desde un punto de vista más amplio, este podría ser un buen momento para comenzar a considerar la posibilidad de automatizar más funciones de administración del ciclo de vida del certificado. Especialmente para organizaciones más grandes que administran docenas de certificados de sitios web de confianza pública, pero también para organizaciones que usan certificados de correo electrónico de confianza pública, así como cualquier organización que aproveche una firma electrónica privada basada en CA o PKI. También podría considerar trasladar algunos certificados de confianza pública a privada, lo que también ayuda con la administración; incluso podría emitir certificados con mayor validez utilizando ese método.
De lo contrario, la forma en que se dirigen las cosas con los programas raíz continúa presionando por una validez más corta: las organizaciones se verán obligadas a automatizar muchas de estas cosas en algún momento en el futuro.
Es mejor explorar eso ahora que cuando tus pies están presionados contra el fuego.
Quizás te preguntes qué sucede cuando vuelve a emitir uno de tus certificados de dos años después de que este cambio entre en vigencia. Bueno, ¡tenemos buenas noticias para ti! Si vuelves a emitir un certificado y pierdes validez (estamos obligados a limitar la validez a 397 días), puedes volver a emitir el certificado más tarde, idealmente menos de 397 días antes de que expire tu certificado original, ¡y recuperar la validez pérdida de tu primera reemisión! Esto funciona de la misma manera que en 2018 cuando pasamos de una validez máxima de tres años a dos años.
Un elemento a tener en cuenta es que el proceso de reemisión de EV es un poco diferente, debido a los requisitos de las Directrices de EV (EVGL) para la reemisión de certificados. Si bien aún puedes volver a emitir tus certificados, se colocarán en la cola para tu revisión manual y tendremos que asegurarnos de que todas las validaciones estén actualizadas antes de poder liberarlo.
Si tienes alguna pregunta sobre cómo estos cambios pueden afectar de manera exclusiva a tu organización o sitio web, no dude en contactarnos.
Como siempre, continuaremos actualizando a medida que las cosas evolucionen.
« 返回