A partir de 15/03/2029, certificados SSL/TLS expirarão a cada 47 dias.
E as verificações DCV da propriedade dos domínios expirarão a cada 10 dias.
O Certification Authority Browser Forum (CA/B Forum) decidiu, por unanimidade, reduzir a validade dos certificados SSL/TLS para 47 dias, a partir de 15 de Março de 2029.
O racional da decisão prende-se um menor período para abuso de certificados comprometidos, ou roubados, e a pouca fiabilidade dos sistemas de revogação usando CRL - Certificate Revocation Lists e OCSP - Online Certificate Status Protocol, que podem ser ignorados pelos browsers.
Resumindo:
Até 15 de Março de 2026, os certificados SSL/TLS emitidos podem ser válidos até um máximo de 398 dias, assim como a verificação do proprietário do domínio (DCV - Domain Control Validation);
A partir de 15 de Março de 2026, os certificados SSL/TLS emitidos podem ser válidos até um máximo de 200 dias, assim como a DCV;
A partir de 15 de Março de 2027, a validade dos certificados e da propriedade do domínio baixa para 100 dias;
A partir de 15 de Março de 2029, a validade dos certificados baixa para os 47 dias, e validade da propriedade do domínio baixa para 10 dias.
Num mundo cor-de-rosa, totalmente automatizado, o projecto Let’s Encrypt resolve o problema de forma simples, e gratuita. A maioria dos sistemas pelos quais a 3GNTW é responsável funciona dessa maneira.
Mas, no mundo real, com infraestrutura crítica que inclui appliances e software legacy, que não suportam automação na renovação dos certificados SSL/TLS, esta alteração pode tornar-se um verdadeiro pesadelo, como sabem os administradores de sistemas profissionais.
No entanto, dificuldades são oportunidades, e pode revelar-se também uma oportunidade comercial para a substituição desses sistemas antiquados.
Caros sysadmins e devops:
Qual o vosso cliente ACME favorito, para as plataformas Linux e Windows?
Que sistemas sob a vossa responsabilidade não suportam automação, na renovação dos certificados SSL/TLS que usam? Precisam de ajuda para resolver o problema?