A mudança para reduzir drasticamente a vida útil dos certificados SSL (liderada pela Apple e pelo Google) pouco faz para tornar a Internet mais segura. No entanto, é bem possível que isso leve os departamentos de TI a adotarem mais automação. Algumas pessoas criticam esta mudança como nada mais do que uma busca de lucro para os fornecedores.
Há um movimento crescente exigindo que o ciclo de atualização de certificados de sites seja drasticamente reduzido. A justificativa para este movimento, liderado principalmente pela Apple e Google, é a ‘segurança’. No entanto, há muitas pessoas que desaprovam este movimento e causa.
Os certificados de site, também conhecidos como certificados SSL/TLS, usam criptografia de chave pública para autenticar um site para navegadores da web. Os certificados de site, emitidos por uma autoridade de certificação (CA) proprietária de um endereço da web, eram inicialmente válidos por 8 a 10 anos. No entanto, foi reduzido para 5 anos em 2012 e atualmente é de 398 dias. Ou seja, está diminuindo gradativamente.
Em particular, os dois principais fornecedores de navegadores têm defendido consistentemente ciclos de atualização muito mais rápidos. Em 2023, o Google exigiu que os certificados de site fossem válidos dentro de 90 dias e, no final de 2024, a Apple apresentou uma proposta ao CA/Browser Forum que permitiria que os certificados expirassem em 47 dias até 15 de março de 2028. Enviado. É também chamada de proposta de 45 dias (porque outras versões da proposta mencionam 45 dias).
Se o AKSDIR CA/Browser Forum adotar a proposta da Apple, os departamentos de TI que atualmente atualizam os certificados de sites corporativos uma vez por ano terão que fazê-lo aproximadamente a cada seis semanas. Isso é um aumento de oito vezes. Mesmo a proposta mais flexível de 90 dias do Google poderia quadruplicar a carga de trabalho do departamento de TI. Resumimos o que o setor de TI corporativo precisa saber.
Por que estamos promovendo um ciclo mais curto de renovação de certificados SSL?
A razão oficial para encurtar o ciclo de renovação de certificados é tornar mais difícil para os ladrões cibernéticos usarem “nomes de domínio órfãos”, ou nomes de domínio abandonados, para fazer phishing e roubar dados e credenciais.
Nomes de domínio órfãos ocorrem quando uma empresa paga para reservar vários nomes de domínio e depois os esquece. Por exemplo, a Nabisco poderia propor vários nomes para o cereal que pretende lançar no próximo ano. A Pfizer também pode preparar vários nomes possíveis de medicamentos. Após uma reunião de gestão, estas empresas decidem utilizar apenas os nomes de domínio de dois produtos, alegando que os produtos não serão lançados. Com que frequência as empresas desistem intencionalmente de nomes de domínio de que não precisam mais?
O maior problema é que os registradores de nomes de domínio não possuem nenhum mecanismo para abandonar nomes pelos quais você já pagou. A maioria dos registradores simplesmente diz: “Desative a renovação automática e não renove mais tarde”.
Usuários mal-intencionados podem sequestrar esses sites negligenciados e usá-los para fins ilegais. Este é o pano de fundo para a afirmação de que quanto mais curto for o período de validade de um certificado de site, menos ameaças à segurança ele representa. Infelizmente, embora estas afirmações pareçam razoáveis num quadro branco, elas não refletem a realidade no terreno.
Reduzir o período de tempo pode reduzir estes ataques, mas apenas se o atacante não tiver tempo suficiente para cometer as suas más acções. Alguns especialistas em segurança argumentam que 47 dias ainda é tempo suficiente, portanto esses ataques não diminuirão significativamente.
“Não creio que isso resolverá os problemas que os proponentes afirmam que resolverá”, disse John Nelson, diretor consultivo sênior de segurança e privacidade do Infotech Research Group. “47 dias é tempo suficiente para um bandido fazer o que quiser com o certificado vazado.”
Imanshu Anand, pesquisador do fornecedor de segurança c/side, concorda: “Mesmo que um ator mal-intencionado coloque as mãos em um script, é muito provável que encontre um comprador na dark web dentro de 45 dias”.
Por isso, Anand acredita que as atualizações deveriam ser feitas com mais frequência. “A quantidade de coordenação necessária para transmitir e executar um ataque man-in-the-middle em sete dias tornará tudo muito mais difícil para atores mal-intencionados”, disse ele.
Mas Nelson questionou se o roubo de domínios expirados é um problema significativo para as empresas hoje. “Ninguém com quem conversei jamais teve um incidente envolvendo um certificado comprometido”, disse ele. “Em outras palavras, este não é um dos 10 principais problemas que precisam ser resolvidos.”
Alex Landstein, CTO do fornecedor de segurança StrikeReady, concorda. “Eu não iria tão longe a ponto de dizer que esta é uma solução para um problema que não existe, mas o abuso de certificados de sites é um problema muito raro”, disse Ranstein. “É raro um invasor roubar um certificado e usá-lo para se passar pelo domínio roubado.”
Lide com atualizações de certificados de site com mais rapidez
No entanto, parece haver uma tendência clara de que as datas de expiração dos certificados se tornem rapidamente mais rápidas. É provável que isto aumente significativamente a carga sobre os departamentos de TI, o que provavelmente levará à automatização de tarefas relacionadas. Na verdade, Nelson argumentou que a maioria dos fornecedores pretende ganhar dinheiro vendendo ferramentas de automação.
“Eles estão tentando ganhar dinheiro forçando você a comprar a tecnologia. “(Os departamentos de TI podem lidar com a PKI) internamente, e não é uma tarefa particularmente onerosa no momento”, disse ele. “Mas se você tiver que fazer isso a cada poucos meses ou semanas, torna-se um fardo muito maior”.
Para resumir o trabalho envolvido, a renovação manual de um certificado exige que o proprietário do site obtenha dados atualizados do certificado da autoridade de certificação e os envie para a empresa de hospedagem. No entanto, o processo exato irá variar dependendo da CA, do nível específico de certificado adquirido, das regras do seu ambiente de hospedagem/nuvem, da localização do host e de inúmeras outras variáveis. O número de certificados que uma empresa deve renovar varia muito dependendo da natureza do negócio e de outras circunstâncias.
Anand, da C/Side, previu que um ciclo de atualização de 45 dias “será um problema suficiente para os departamentos de TI manterem o método legado de processamento manual de scripts, e eles estarão procurando opções de resposta mais rápidas”.
As tarefas de automação podem ser executadas diretamente pelo departamento de TI ou por meio de uma empresa externa, como um fornecedor de gerenciamento do ciclo de vida de certificados (CLM). Observe que muitos dos fornecedores que fornecem esses serviços são membros da CA e do CA/Browser Forum.
As abordagens para alavancar empresas externas podem variar, mas, em muitos casos, são feitas concedendo-lhes algum nível de acesso privilegiado aos sistemas corporativos. E isso traz à mente o incidente CrowdStrike no verão de 2024, quando 8,5 milhões de PCs com Windows em todo o mundo ficaram inativos devido a uma atualização de software de um fornecedor. Claro, o incidente Crowdstraight é um caso extremo. Isto é especialmente verdadeiro considerando que o CrowdStrike teve acesso a uma área particularmente sensível do sistema: o kernel.
Arti Riazi, CIO da Hearst, uma editora avaliada em US$ 12 bilhões, compartilhou a política de resposta da empresa. Sua empresa está pensando em permitir a automação externa para lidar com alterações de certificados. No entanto, uma cerca virtual será construída em torno do software de automação para manter um controle rigoroso.
“As organizações maiores e mais maduras têm os recursos para controlar estas entidades externas”, diz Riazi. Portanto, pode haver uma abordagem mais inteligente para quanta automação não verificada você permite e quanto acesso você dá a terceiros. “É provável que você possa construir um modelo de proxy onde o ponto médio é acessado de fora, mas o ponto final real não é afetado por terceiros.”
Enquanto isso, as questões de certificados não são muito diferentes de outras questões tecnológicas, acrescentou ela. “Esta questão será tratada pesando os riscos e benefícios. A maturidade, o tamanho e a postura de segurança de uma organização são fatores importantes nesse assunto. Independentemente da solução adotada, é improvável que os problemas de certificados desapareçam. “É como dizer que todos nós deveríamos estar sem senhas agora, mas quantas organizações ainda não têm senhas?”
E se o certificado do meu site expirar?
Termos enganosos são frequentemente usados no discurso sobre a expiração de certificados. Mesmo que o certificado do seu site expire, a parte pública do seu site literalmente não para.
No entanto, o tráfego cai imediatamente. Dependendo das configurações de segurança da sua organização, alguns visitantes podem ser completamente impedidos de visitar sites com certificados expirados. No entanto, para a maioria dos visitantes, o navegador simplesmente indica que o certificado expirou e avisa que é perigoso prosseguir sem realmente bloqueá-los.
Mas Tim Callen, diretor de conformidade do fornecedor de CLM Sectigo e vice-presidente do CA/Browser Forum, argumentou que os visitantes do site “raramente superam esse obstáculo”. Este é um problema que as empresas não podem ignorar.
Além disso, os certificados expirados geram interações entre servidores internos, o que às vezes pode causar interrupções reais. “A maioria dos certificados não protege sites humanos, mas sim interações entre servidores”, disse Callen. “Em muitos casos, uma interrupção do sistema é, na verdade, um congelamento do sistema”, disse ele. Na pior das hipóteses, “o Servidor A pode parar de se comunicar com o Servidor B, resultando em falhas em cascata”.
Isso significa que um certificado expirado significa que a maioria dos visitantes do site não conseguirá acessá-lo, por isso é importante manter seu certificado atualizado. Com ciclos de atualização mais rápidos pela frente, agora é a hora de criar um novo plano para manutenção de certificados.
Mas há espaço para os departamentos de TI respirarem. Ranstein, do StrikeReady, disse que não espera que as mudanças na certificação aconteçam tão rápida ou drasticamente quanto as propostas recentes da Apple.
Ele disse: “Não há absolutamente nenhuma chance de que a ‘proposta de 45 dias’ seja concretizada até 2028. O Google tem insistido em 6 meses nos últimos 5 anos. Anunciam antecipadamente que farão algo e depois garantem que irão adiar para 2026. “Mas não será indefinido.”
Enquanto isso, Anand, da C/Side, também destacou que, em muitas empresas, o processo de manutenção de certificados é dividido em várias etapas. “A maioria das plataformas públicas modernas operam por trás de um proxy, como Cloudflare, Fastly ou Akamai, ou usam provedores de hospedagem front-end, como Netlify, Firebase ou Shopify”, explicou ele.
“Como alternativa, eles geralmente são hospedados em plataformas de nuvem como AWS, Azure ou GCP, que fornecem gerenciamento automatizado de certificados. “Nossas soluções mais recentes já podem reduzir ou eliminar significativamente o trabalho manual das equipes de TI.”
[email protected]
