Alexandre Torres, CIO da Soluti em entrevista fala sobre a redução do ciclo de vida dos certificados SSL/TLS
12 de julho de 2023
O CA/B Fórum que é o órgão internacional que reúne as Autoridades Certificadoras e fornecedores de navegadores web em torno de uma autorregulamentação e definição de requisitos técnicos estuda acompanhar a política sugerida pelo Google que altera o período de validade de certificado para 90 dias iniciando em setembro de 2023.
Isso porque o Google divulgou uma nova política da Raiz SSL/TLS para o Chrome com o objetivo de atender as melhores práticas de segurança na internet e o principal ponto foi a redução do período de validade atual dos certificados digitais que, atualmente, são de 398 dias para 90 dias.
A questão da redução de ciclo de vida dos certificados TLS, anteriormente chamado de SSL, pode deixar muitas empresas desprevenidas e por isso é importante que esse artigo seja compartilhado para que o alerta chegue ao maior número de administradores de certificados digitais que são emitidos para sites, servidores web, aplicações e equipamentos como POS – máquinas de cartões, equipamentos IoT e tantas outras aplicações.
Conversamos com Alexandre Torres, CIO da Soluti. A Soluti é uma das maiores IDTech brasileiras que possui uma Autoridade Certificadora de Raiz Internacional para emissão de certificados TLS/SSL e também é uma AC emissora de TLS da Raiz ICP-Brasil.
Crypto ID: Alexandre, sobre a redução do ciclo de vida dos certificados TLS, você acha que trará mais segurança à internet?
Alexandre Torres: A redução do ciclo de vida dos certificados TLS de 398 para 90 dias foi proposta pela Google em um artigo intitulado Moving Foward, Together em um conjunto de propostas encaminhadas para o comitê gestor do CA/B Forum. As motivações para a proposta são adoção de automação, melhores práticas e uma menor dependência dos mecanismos de checagem de revogação de certificados.
Neste sentido, teremos um aumento de segurança, já que as empresas emissoras não poderão mais depender de tarefas manuais suscetíveis a erro. Teremos também um menor impacto em eventuais falhas no mecanismo de checagem de certificados revogados. Por vezes, esses mecanismos estão quebrados e deixam de oferecer proteção. Além disso, qualquer comprometimento da chave ou certificado será válido por um período mais curto de tempo. Isso reduz a janela de oportunidade para ataques e aumenta a segurança geral.
Crypto ID: Períodos de validade mais curtos aumentam a segurança, mas por outro lado, isso pode aumentar a carga de trabalho de gerenciamento do ciclo de vida do certificado, isso é verdadeiro?
Alexandre Torres: Sim, em uma conta simples teremos 4 vezes mais trabalho para o mesmo prazo. Não há como sustentar períodos curtos de emissão sem um investimento alto na automação do processo. Sem isso a empresa não se mantém competitiva. Isso exigirá uma abordagem mais proativa no gerenciamento dos certificados. Nós estamos investindo pesado na construção de ferramentas que sustentem todo esse processo.
Crypto ID: Você poderia nos dizer quais são as principais consequências para a empresa da má administração dos certificados TLS?
Alexandre Torres: Um certificado TLS expirado, retira do ar site ou serviços protegidos por esse certificado. Portanto, se a empresa não administrar bem seus certificados ela estará exposta a esse risco.
Do lado da empresa emissora, é necessário garantir a emissão qualificada de um volume muito maior de certificados. Ambos os processos só serão possíveis por meio de automatização e boas ferramentas de gestão.
Crypto ID: Qual será o perfil de empresas mais afetado com essa nova política de ciclo de vida dos certificados?
Alexandre Torres: Qualquer empresa de médio para grande porte tem, hoje em dia, centenas de certificados. Alguns deles estão rodando em servidores meio obscuros, mas que se saem do ar causam impacto na operação. (sei disso por experiência própria :D)
Empresas que possuem um grande número de certificados TLS ou que não possuem processos automatizados para gerenciar o ciclo de vida dos certificados. Empresas menores ou aquelas que já possuem uma abordagem proativa no gerenciamento de certificados podem estar mais preparadas para lidar com a redução do prazo de validade, ou terem impactos menores.
Crypto ID: Vocês já possuem diversas formas de entrega dos certificados TLS. Suas soluções já estão preparadas para atender a pequena e média empresa que ainda não tem a automatização da gestão dos certificados?
Alexandre Torres: Sim, nossas soluções já podem ajudar a pequena e média empresa nessa gestão. Além disso, estamos trabalhando muito para oferecer uma solução completa de automatização para nossos clientes de todos os níveis.
Quando se fala de automação no segmento de SSL/TLS, logo pensamos no ACME – Automatic Certificate Management Environment – em português – Ambiente de Gerenciamento Automático de Certificados. Vamos falar um pouco sobre isso?
Crypto ID: O que é o ACME em termos práticos?
Alexandre Torres: O ACME é um protocolo de gerenciamento automático de certificados amplamente adotado pela indústria. Em termos práticos, o ACME permite que os administradores de sistemas solicitem, renovem e revoguem certificados de forma automatizada, sem intervenção manual. Ele fornece uma maneira padronizada de realizar a autenticação e a comunicação entre os clientes e as Autoridades Certificadoras. Ele permite que os sistemas automatizem o processo de obtenção e renovação de certificados TLS, simplificando a administração e eliminando a necessidade de intervenção manual.
Crypto ID: Existe quantidade mínima e máxima de certificados para utilizar essa ferramenta?
Alexandre Torres: Não há uma quantidade mínima ou máxima de certificados para utilizar o ACME. Ele pode ser usado para automatizar o gerenciamento de qualquer número de certificados TLS, desde um único certificado até uma grande quantidade deles.
Crypto ID: Como uma empresa pode ter acesso ao ACME?
Alexandre Torres: Para uma empresa ter acesso a esse protocolo, ela deve usar uma ferramenta que a implemente.
Crypto ID: A Soluti trabalha com o ACME?
Alexandre Torres: Aqui na Soluti iremos entregar para os nossos clientes a nossa solução de gestão de certificados construída em cima do ACME. Esta abordagem é um novo paradigma de aquisição e gestão de certificados TLS.
Crypto ID: Já foi definido pelo CA/B Fórum como será na prática o sistema de validação dos domínios? A validação de um domínio poderá ser aproveitada para a emissão de mais chaves?
Alexandre Torres: O CA/B Fórum ainda está trabalhando nas diretrizes específicas para o sistema de validação dos domínios com base na nova política de redução do ciclo de vida dos certificados. A validação de um domínio pode ser aproveitada para a emissão de mais chaves, desde que a validação seja realizada de acordo com os requisitos estabelecidos pelas autoridades certificadoras.
Existe uma expectativa no mercado de que no segundo semestre o CA/B Forum libere as diretrizes em seu manual.
Crypto ID: Pensando no lado financeiro, a redução de prazo de validade trará novos encargos para as empresas compradoras? E para as Autoridades Certificadoras?
Alexandre Torres: Essa redução de prazo, no fundo, é um novo paradigma de comercialização de certificados. Não estamos mais falando de produtos classificados por validade, mas de um serviço de emissão e gestão fornecido ao longo de um tempo. Na prática, estamos falando de certificado como serviço.
Crypto ID: Qual será a relação entre a computação quântica e o possível comprometimento das chaves criptográficas?
Alexandre Torres: O problema da computação quântica é que ela está avançando rapidamente e resolvendo problemas matemáticos em uma velocidade impressionante. A criptografia das chaves dos certificados é um problema matemático. Estamos caminhando para o dia em que chaves poderão ser quebradas em poucos meses, ao invés de muitos anos, como é hoje.
Portanto, reduzir o tempo de renovação dos certificados, reduz a janela de exposição das chaves a uma possível quebra feita por computação quântica. Esse é um primeiro passo importante. Logo teremos que adotar algoritmos pós-quânticos na geração das chaves.
Crypto ID: Então podemos imaginar que no futuro a vida útil de uma chave de criptografia poderá ter cada vez mais períodos menores?
Alexandre Torres: Sim, até termos a adoção de algoritmos de geração de chaves pós-quânticos. Esses algoritmos reescrevem o cálculo da chave de forma que o processamento de computadores quânticos não seja adequado para a solução. Um exemplo são as chaves baseadas em curvas elípticas.
Crypto ID: A Soluti é uma AC que emite TLS com Raiz internacional, mas também emite muitos certificados TLS ICP-Brasil, para os órgãos públicos e principalmente para o mercado financeiro. Você acredita que o Comitê Gestor da ICP-Brasil vai considerar a redução da vida útil dos TLS na hierarquia brasileira?
Alexandre Torres: Para que os certificados da cadeia ICP-Brasil sejam válidos na cadeia WebTrust, o Comitê Gestor terá que adotar a redução do ciclo de vida. Esse processo de constante atualização demanda muita atenção por parte do ITI. Existe ainda a possibilidade de que o Comitê Gestor decida seguir com a cadeia ICP-Brasil independente do WebTrust. Temos que aguardar para ver a decisão.
Crypto ID: Podemos aproveitar que estamos falando do ciclo de vida dos certificados em relação ao prazo de validade e conhecer sua opinião em relação ao aumento do tempo de validade dos certificados ICP-Brasil para pessoas físicas e jurídicas?
Alexandre Torres: O tempo de validade dos certificados ICP-Brasil tem as mesmas implicações do SSL, ou seja, devem garantir que as listas de revogação estejam sempre atualizadas e as chaves deve suportar a computação quântica. No entanto, o certificado em nuvem já tem uma validade de 5 anos. Consideramos essa validade bem adequada às necessidades do mercado. No nosso modelo de negócio, o certificado em nuvem tem características de certificado como serviço. Em muitos casos a emissão é gratuita e o consumo se dá pela autenticação e assinaturas realizadas com o certificado.
Crypto ID: Para finalizar, você gostaria de colocar alguma outra questão que não abordamos durante essa entrevista?
Alexandre Torres: Agradeço a entrevista abrangente e pelas perguntas pertinentes. Acredito que abordamos os principais aspectos relacionados à redução do ciclo de vida dos certificados TLS e suas implicações.
A Soluti está de olho em todas as movimentações do mercado. Inovação e inquietude estão em nosso DNA.
Crypto ID: Nós é que agradecemos muito sua pronta disponibilidade e pelas respostas bastante esclarecedoras. Até próxima.
Como o Certificado SSL pode impulsionar as vendas do seu site?
Soluti conquista o selo internacional WebTrust dois anos consecutivos
Produtividade nas empresas pode aumentar até 100 vezes com IA
Everest Digital inicia operações e anuncia CEO
Soluti estreia podcast em vídeo
Sobre Soluti
A Soluti é uma IDTech que fornece soluções inovadoras em Identidade Digital e Assinaturas Eletrônicas.
O Grupo Soluti nasceu em abril de 2008 como uma pequena prestadora de serviço na área de Certificação Digital, em Goiânia (GO). Começou com o sonho de 3 irmãos empreendedores: Cassio Sousa, Flavia Sousa e Vinicius Sousa. A empresa deu seu primeiro grande salto ao se tornar produtora e vendedora de Certificados Digitais, concorrendo diretamente com os grandes players do mercado. Em 2012, se tornou uma Autoridade Certificadora de Nível 1, a primeira fora de São Paulo.
Com uma política comercial agressiva, em pouco tempo já estava praticamente em todos os Estados brasileiros. O Grupo Soluti detém hoje 40% do mercado nacional de Certificados Digitais, com aumento médio anual de 15% a 20% desde 2015.
Nos últimos anos, o Grupo Soluti vem mudando o seu perfil, ampliando-o para uma empresa de soluções tecnológicas. Com aproximadamente 600 colaboradores diretos no País, tem expandido a sua atuação no mercado por meio de aquisições de empresas que são referências no setor. Neste ano de 2024, criou a Everest Digital e passou a oferecer aos seus clientes o primeiro Data Center Tier III na Região Centro-Oeste do Brasil. Também neste ano adquiriu a empresa Identity del Peru S.A, proprietária da plataforma de assinatura Intellisign, dando um importante passo para a sua internacionalização.
Leia outros artigos publicados sobre a Soluti aqui o Crypto ID!
Somos líderes no mercado de Certificação Digital, com 38% de market share. Acesse o vídeo e conheça mais um pouco sobre o Grupo Soluti. Sobre Soluti em vídeo.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!