Últimas notícias

Fique informado

As ACs globais vão descontinuar o campo OU – Unidade Organizacional – dos certificados TLS. O que sua empresa precisa fazer?

24 de junho de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Hardwares: Sucatas valiosas, por Eder Souza

A maioria dos fabricantes não adotam um processo de exclusão seguro e com isso, qualquer utilitário destinado a recuperar arquivos apagados pode ser utilizado para recuperar os arquivos enviados.

30 de maio de 2022

SSL – O elo necessário para sobrevivência das empresas no mercado corporativo

O Brasil acompanhou o movimento mundial e, o SSL teve maior adesão no segmento financeiro seguido por empresas de saúde e governo

25 de maio de 2022

Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS

Conversamos com William Bergamo sócio fundador da e-Safer sobre os padrões técnicos dos protocolos SSL/TLS

11 de maio de 2022

Certificado SSL – A garantia mínima necessária para empresas passarem confiança em seus sítios digitais

A reputação digital das empresas ganha relevância uma vez que as pessoas começaram a dar mais atenção ao sigilo de seus dados.

9 de maio de 2022

As ACs terão até 1º de setembro de 2022 para descontinuar definitivamente o campo OU – Unidade Organizacional “subject:organizationalUnitName

Devido à nova regra do CA/Browser Fórum – CAB/F, o campo OU-Unidade Organizacional “subject:organizationalUnitName nos certificados TLS – Transport Layer Security emitidos pelas Autoridades Certificadoras que fazem parte desse Conselho será descontinuado.

A nova regra do CAB/F, votada em junho de 2021, entra em vigor em julho de 2022 e as ACs terão até 1º de setembro de 2022 para descontinuar definitivamente o campo OU – Unidade Organizacional “subject:organizationalUnitName”. Ressaltando que, essa alteração não afetará os certificados existentes.

O CAB/Forum tem dois blocos de participantes: as empresas emissoras dos certificados e as empresas de serviços de browsers.

Por parte das AC’s foram computados ao todo 26 votos, sendo 25 a favor e 1 voto contra e nenhuma abstenção para a implementação dessa nova regra.

Votos Sim: Amazon, Buypass, Certum (Asseco), Chunghwa Telecom, D-TRUST, DigiCert, Disig, eMudhra, Entrust, Firmaprofesional, GDCA, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, JPRS, Kamu SM, Let’s Encrypt / ISRG, OISTE, Sectigo, Telia Company, TrustCor, SecureTrus e Visa.

Voto Não: OATI

Por parte do bloco de empresas consumidoras dos certificados que são as de serviço browsers, foram computados 6 votos no total e todos a favor, sem nenhum voto contra e sem abstenções.

Votos Sim: Apple, Cisco, Google, Microsoft, Mozilla e 360.

Porque as empresas optaram por descontinuar esse campo?

Conforme concluído pelo CAB/F, a “Unidade Organizacional” é um conceito puramente interno de uma empresa, que, carece de fontes de informações externas credíveis para uma Autoridade Certificadora (CA). 

Como resultado, o campo OU não pode ser autenticado e pode conter praticamente qualquer texto que um cliente ou CA opte por incluir. Embora as diretrizes existentes proíbam o uso de marcas ou nomes de domínio não autenticados nesses campos OU, essa política é extremamente difícil de validar e fundamentalmente nebulosa sendo baseada em julgamentos. A remoção do campo elimina esse problema.

Os clientes que usam esse campo estão sendo avisados pelas  Autoridades Certificadoras ​​de que quaisquer processos ou sistemas que dependam da presença ou das informações no campo da OU serão afetados.

No entanto, a maioria das empresas não usa o campo OU e, portanto, não teriam processos construídos que dependam desse conteúdo. Essas organizações não devem ser afetadas por essa mudança.

Mesmo com o prazo de 1º de setembro de 2022 a maioria das ACs está antecipando essa adequação à regra do CAB/F. 

A Sectigo, por exemplo, que é uma das maiores emissoras de certificados TLS do mundo, quer garantir que nenhum cliente seja afetado negativamente por essa mudança e, portanto, está comunicando que a partir de 1º de julho de 2022 descontinuará esse campo e aconselha aos clientes que verifiquem seus processos internos de OU para garantir a funcionalidade ideal bem antes do prazo final.

A quais certificados a nova regra do campo subject:organizationalUnitName se aplica?

Essa alteração afeta principalmente os Certificados SSL/TLS de Validação Estendida (EV) e de Validação Organizacional (OV) públicos, bem como os Certificados de Assinatura de Código EV e Padrão.

Como saber se essa mudança impacta o meu negócio?

Esse campo é mais utilizado por empresas globais de grande porte que adquirem os certificados em uma das unidades internacionais para distribuição para outros países e, principalmente, empresas dos setores financeiros e varejo. 

A maioria das empresas, no entanto, não usa o campo OU e provavelmente não teria processos construídos que dependam desse conteúdo. Essas organizações não devem ser afetadas por essa mudança. Porém, os profissionais que fazem a gestão dos certificados TLS devem consultar sua própria política interna relacionadas aos campos dos Certificados Digitais para não serem surpreendidos.

Por que a adequação à regra é importante?

A maioria dos Certificados não contém informações de OU e a maioria das empresas não possui requisitos técnicos ou de processo dependendo desse campo, para esses casos essa alteração não deve ter impacto.

No entanto, uma minoria de certificados que usa esse campo OU, e algumas empresas podem ter requisitos técnicos integrados com base no conteúdo do campo OU depender dele como uma parte significativa de seu processo de negócios para provisionamento, implantação, e contabilidade de centro de custo.

Essas empresas podem ser afetadas pela remoção obrigatória do campo OU de todos os certificados TLS/SSL públicos. Qualquer organização desse tipo deveria estar mudando seus sistemas e processos agora para dar suporte ao novo requisito.

Se você está em dúvida sobre os Certificados TLS administrados por seu setor, entre em contato com a e-Safer que terá a orientação de como proceder.

Hardwares: Sucatas valiosas, por Eder Souza

SSL – O elo necessário para sobrevivência das empresas no mercado corporativo

Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS