As ACs globais vão descontinuar o campo OU – Unidade Organizacional – dos certificados TLS. O que sua empresa precisa fazer?
24 de junho de 2022As ACs terão até 1º de setembro de 2022 para descontinuar definitivamente o campo OU – Unidade Organizacional “subject:organizationalUnitName”
Devido à nova regra do CA/Browser Fórum – CAB/F, o campo OU-Unidade Organizacional “subject:organizationalUnitName” nos certificados TLS – Transport Layer Security emitidos pelas Autoridades Certificadoras que fazem parte desse Conselho será descontinuado.
A nova regra do CAB/F, votada em junho de 2021, entra em vigor em julho de 2022 e as ACs terão até 1º de setembro de 2022 para descontinuar definitivamente o campo OU – Unidade Organizacional “subject:organizationalUnitName”. Ressaltando que, essa alteração não afetará os certificados existentes.
O CAB/Forum tem dois blocos de participantes: as empresas emissoras dos certificados e as empresas de serviços de browsers.
Por parte das AC’s foram computados ao todo 26 votos, sendo 25 a favor e 1 voto contra e nenhuma abstenção para a implementação dessa nova regra.
Votos Sim: Amazon, Buypass, Certum (Asseco), Chunghwa Telecom, D-TRUST, DigiCert, Disig, eMudhra, Entrust, Firmaprofesional, GDCA, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, JPRS, Kamu SM, Let’s Encrypt / ISRG, OISTE, Sectigo, Telia Company, TrustCor, SecureTrus e Visa.
Voto Não: OATI
Por parte do bloco de empresas consumidoras dos certificados que são as de serviço browsers, foram computados 6 votos no total e todos a favor, sem nenhum voto contra e sem abstenções.
Votos Sim: Apple, Cisco, Google, Microsoft, Mozilla e 360.
Porque as empresas optaram por descontinuar esse campo?
Conforme concluído pelo CAB/F, a “Unidade Organizacional” é um conceito puramente interno de uma empresa, que, carece de fontes de informações externas credíveis para uma Autoridade Certificadora (CA).
Como resultado, o campo OU não pode ser autenticado e pode conter praticamente qualquer texto que um cliente ou CA opte por incluir. Embora as diretrizes existentes proíbam o uso de marcas ou nomes de domínio não autenticados nesses campos OU, essa política é extremamente difícil de validar e fundamentalmente nebulosa sendo baseada em julgamentos. A remoção do campo elimina esse problema.
Os clientes que usam esse campo estão sendo avisados pelas Autoridades Certificadoras de que quaisquer processos ou sistemas que dependam da presença ou das informações no campo da OU serão afetados.
No entanto, a maioria das empresas não usa o campo OU e, portanto, não teriam processos construídos que dependam desse conteúdo. Essas organizações não devem ser afetadas por essa mudança.
Mesmo com o prazo de 1º de setembro de 2022 a maioria das ACs está antecipando essa adequação à regra do CAB/F.
A Sectigo, por exemplo, que é uma das maiores emissoras de certificados TLS do mundo, quer garantir que nenhum cliente seja afetado negativamente por essa mudança e, portanto, está comunicando que a partir de 1º de julho de 2022 descontinuará esse campo e aconselha aos clientes que verifiquem seus processos internos de OU para garantir a funcionalidade ideal bem antes do prazo final.
A quais certificados a nova regra do campo subject:organizationalUnitName se aplica?
Essa alteração afeta principalmente os Certificados SSL/TLS de Validação Estendida (EV) e de Validação Organizacional (OV) públicos, bem como os Certificados de Assinatura de Código EV e Padrão.
Como saber se essa mudança impacta o meu negócio?
Esse campo é mais utilizado por empresas globais de grande porte que adquirem os certificados em uma das unidades internacionais para distribuição para outros países e, principalmente, empresas dos setores financeiros e varejo.
A maioria das empresas, no entanto, não usa o campo OU e provavelmente não teria processos construídos que dependam desse conteúdo. Essas organizações não devem ser afetadas por essa mudança. Porém, os profissionais que fazem a gestão dos certificados TLS devem consultar sua própria política interna relacionadas aos campos dos Certificados Digitais para não serem surpreendidos.
Por que a adequação à regra é importante?
A maioria dos Certificados não contém informações de OU e a maioria das empresas não possui requisitos técnicos ou de processo dependendo desse campo, para esses casos essa alteração não deve ter impacto.
No entanto, uma minoria de certificados que usa esse campo OU, e algumas empresas podem ter requisitos técnicos integrados com base no conteúdo do campo OU depender dele como uma parte significativa de seu processo de negócios para provisionamento, implantação, e contabilidade de centro de custo.
Essas empresas podem ser afetadas pela remoção obrigatória do campo OU de todos os certificados TLS/SSL públicos. Qualquer organização desse tipo deveria estar mudando seus sistemas e processos agora para dar suporte ao novo requisito.
Se você está em dúvida sobre os Certificados TLS administrados por seu setor, entre em contato com a e-Safer que terá a orientação de como proceder.
Hardwares: Sucatas valiosas, por Eder Souza
SSL – O elo necessário para sobrevivência das empresas no mercado corporativo
Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS
