A partir del 1 de septiembre, los certificados SSL / TLS no pueden emitirse por más de 13 meses (397 días). Este cambio fue anunciado por primera vez por Apple, en el evento cara a cara de CA / Browser Forum Spring en Bratislava en marzo.
Luego, la semana pasada, en el evento de verano del Foro CA/B (realizado virtualmente), Google anunció su intención de combinar los cambios de Apple con su propio programa raíz.
También hay una boleta de votación impulsada por el navegador que busca alinear los requisitos básicos de la industria con los nuevos cambios del programa raíz. Ese tema está siendo debatido actualmente por el Foro.
Nos damos cuenta de que puede haber mucho que desempaquetar aquí, por lo que, en aras de proporcionar un poco de claridad, lo cubriremos en esta publicación de blog.
El motivo de la menor duración del certificado SSL / TLS
Desde un punto de vista teórico de alto nivel, existen dos beneficios principales para los certificados de vida más corta:
El primero es el componente técnico: una vida útil más larga significa que lleva más tiempo implementar actualizaciones o cambios de forma orgánica. Un ejemplo del mundo real sería la transición de SHA1 a SHA2. A menos que vayas a revocar una gran cantidad de certificados y obligar al cliente a volver a emitir, pueden pasar años antes de que se reemplacen todos los certificados anteriores. En el caso de SHA1, tomó tres. Eso crea riesgo.
El otro beneficio tiene que ver con la identidad: ¿cuánto tiempo debe permanecer confiable la información utilizada para validar una identidad? Cuanto más tiempo entre la validación, mayor es el riesgo. Google ha dicho que en un mundo ideal la validación del dominio ocurriría aproximadamente cada seis horas.
Antes de 2015, podría obtener un certificado SSL / TLS emitido por hasta cinco años. Eso se redujo a tres, y nuevamente en 2018 a dos. A finales de 2019, se propuso una votación en el Foro CA/B que la habría reducido a un año; las Autoridades de Certificación rechazaron enérgicamente.
Entonces, ¿por qué todavía se reduce el certificado a un año?
El foro CA / Browser es un grupo de la industria que se reúne para votar sobre un conjunto de requisitos básicos para la emisión de certificados digitales de confianza. Lo que no es, sin embargo, es un órgano rector. A pesar de que las AC expresaron su preocupación y su renuencia a disminuir nuevamente la validez máxima, Apple y Google están en su derecho de actualizar las políticas para sus programas raíz como mejor les parezca.
Entendemos que acabamos de arrojarte un montón de términos de la industria, así que retrocedamos muy rápido y asegurémonos de que el párrafo anterior tenga sentido.
Las autoridades de certificación y los navegadores tienen una relación interdependiente. Los navegadores necesitan usar certificados para hacer determinaciones de confianza sobre sitios web y para ayudar a asegurar las conexiones. En el lado de CA, ¿de qué sirve un certificado público si un navegador no confía en él?
La forma en que todo se gestiona es a través de los programas raíz. Hay cuatro programas principales de raíz:
- Microsoft
- Apple
- Mozilla
- Google (los dos últimos conocidos como Googzilla – jajaja)
Por cierto, notarás que esos cuatro también están detrás de los principales navegadores tanto en computadoras de escritorio como en dispositivos móviles. Para que una CA tenga sus certificados confiables en los programas raíz y, por extensión, los navegadores y sistemas operativos que los utilizan, debe cumplir con las pautas de ese programa raíz. El foro CA / B es un foro de la industria que idealmente ayuda a facilitar los cambios en los programas raíz (y en el ecosistema mismo).
Pero los programas raíz, que participan como navegadores, aún pueden actuar de manera unilateral y realizar cambios como mejor les parezca. Cuando esto sucede, la necesidad de interoperabilidad básicamente dicta que cualquier política de programa raíz que tenga los estándares más estrictos se convierte en el nuevo requisito básico de facto.
Así es como llegamos aquí. Ahora hablemos sobre lo que esto significa para tu sitio web.
¿Qué significa una validez SSL / TLS más corta para los propietarios de sitios web?
Lo primero es lo primero, esto entrará en vigencia el 1 de septiembre de 2020. Por lo tanto, si estás utilizando un certificado de dos años emitido antes del 1 de septiembre, tu certificado seguirá siendo válido hasta tu fecha de vencimiento original. Simplemente no podrá renovar durante dos años en adelante.
O para decirlo de otra manera, tienes hasta el primero de septiembre para obtener certificados de dos años. Después de eso serán relegados a la papelera de reciclaje de escritorio de la historia.
Desde un punto de vista más amplio, este podría ser un buen momento para comenzar a considerar la posibilidad de automatizar más funciones de administración del ciclo de vida del certificado. Especialmente para organizaciones más grandes que administran docenas de certificados de sitios web de confianza pública, pero también para organizaciones que usan certificados de correo electrónico de confianza pública, así como cualquier organización que aproveche una firma electrónica privada basada en CA o PKI. También podría considerar trasladar algunos certificados de confianza pública a privada, lo que también ayuda con la administración; incluso podría emitir certificados con mayor validez utilizando ese método.
De lo contrario, la forma en que se dirigen las cosas con los programas raíz continúa presionando por una validez más corta: las organizaciones se verán obligadas a automatizar muchas de estas cosas en algún momento en el futuro.
Es mejor explorar eso ahora que cuando tus pies están presionados contra el fuego.
Cómo GlobalSign manejará los certificados de un año
En aras de la simplicidad, haciendo que el proceso sea lo más sencillo posible, GlobalSign proporcionará a los clientes SSL / TLS la validez máxima de 397 días cuando soliciten certificados de un año a partir del 31 de agosto. Esto se aplica a nuevos pedidos y renovaciones, para proporcionar la máxima validez para el beneficio de nuestros clientes.
Todavía querrás renovar tu certificado antes de que caduque, pero como ya no podemos proporcionarle hasta 90 días adicionales para su validez, te recomendamos que renueves dentro de los 30 días posteriores a tu vencimiento.
¿Qué pasa con la reemisión de mis certificados?
Quizás te preguntes qué sucede cuando vuelve a emitir uno de tus certificados de dos años después de que este cambio entre en vigencia. Bueno, ¡tenemos buenas noticias para ti! Si vuelves a emitir un certificado y pierdes validez (estamos obligados a limitar la validez a 397 días), puedes volver a emitir el certificado más tarde, idealmente menos de 397 días antes de que expire tu certificado original, ¡y recuperar la validez pérdida de tu primera reemisión! Esto funciona de la misma manera que en 2018 cuando pasamos de una validez máxima de tres años a dos años.
Un elemento a tener en cuenta es que el proceso de reemisión de EV es un poco diferente, debido a los requisitos de las Directrices de EV (EVGL) para la reemisión de certificados. Si bien aún puedes volver a emitir tus certificados, se colocarán en la cola para tu revisión manual y tendremos que asegurarnos de que todas las validaciones estén actualizadas antes de poder liberarlo.
Si tienes alguna pregunta sobre cómo estos cambios pueden afectar de manera exclusiva a tu organización o sitio web, no dude en contactarnos.
Como siempre, continuaremos actualizando a medida que las cosas evolucionen.
Neothek ofrece servicios de certificados SSL, web hosting, registro de dominios, correo electrónico, diseño de páginas web y diseño gráfico.
