Uma das coisas mais comuns que as pessoas perguntam antes de comprar é:
- Por que eles expiram?
- Não é apenas um esquema de Autoridade Certificadora para que eu tenha que comprar um novo e eles possam ganhar mais dinheiro?
E sim, isso é um comentário totalmente justo. Afinal, instalar um certificado ano após ano pode ser frustrante. E quando você analisa isso, você pode estar inclinado a pensar que essas empresas criaram uma forma desonesta de lucrar em cima dos clientes. A expiração ajuda a manter a tecnologia segura, e não, não é uma conspiração das empresas que emitem estes produtos.
A realidade é que a expiração da identidade digital é muito importante para garantir a segurança do SSL. O SSL é uma tecnologia de segurança que usa criptografia para garantir a segurança nas comunicações entre computadores. Sem expiração, os certificados seriam inúteis.
A validade dos certificados digitais
Primeiro, vamos entender como eles expiram: Todo certificado digital tem um período de validade (seja um e-CPF, um e-CNPJ, e todos os outros tipos). Um intervalo de datas o qual o certificado é válido e pode ser usado para diversos fins (assinatura de documentos, emissão de notas fiscais, etc). Após esse período de validade, os certificados digitais expiram. Com isso os navegadores e outros softwares param de aceitar certificados expirados e exibem um aviso ou um alerta de erro quando você tenta usar. É semelhante cartão de crédito ou débito do seu banco expira e você precisa adquirir um novo cartão.
Obter um certificado de uma Autoridade Certificadora (CA, é a empresa que emite o seu) de confiança pública, como a Certisign ou a Soluti, requer que você prove a propriedade do solicitado (seus dados de pessoa física ou jurídica) seguindo os requisitos padrão da indústria.
Esses requisitos garantem que você não pode obter uma certificação para algo que você não possui (eu não posso emitir em nome de outra pessoa física). A CA emite e assina digitalmente o seu certificado para dizer a outros dispositivos que as informações contidas nele são precisas, e o período de validade diz a eles quanto tempo essas informações podem ser confiáveis.
Assim como um documento de identidade ou passaporte do governo, é importante que a informação seja verificada novamente ocasionalmente. Imagine se você nunca tivesse que renovar um passaporte ou carteira de motorista? Muitas pessoas ainda estariam carregando seus velhos documentos com uma foto de quando eles tinham 17 anos. Usar essas identidades para identificação é muito mais difícil e muito menos confiável, porque as pessoas mudam com o tempo.
É claro que, no mundo da tecnologia, as coisas se movem muito mais rápido, então a expiração da sua assinatura digital é frequentemente feita em um curto intervalo de tempo entre 1 ano e 3 anos (dependendo do que você comprou). A identidade digital também é diferente da identidade do mundo real. Os sócios das empresas, por exemplo, mudam de mãos o tempo todo. Sendo assim, você gostaria que um proprietário que não é mais sócio da empresa tivesse um certificado ainda válido? Eu acredito que não!
Uma outra questão é que quanto mais tempo um arquivo estiver por perto, maior será a probabilidade de ser duplicado em todo o lugar e armazenado de forma insegura. Imagine que você tem um certificado A1 (em formato de arquivo), então fica um arquivo na contabilidade, outro na sua sala para assinar digitalmente algum documento e outro no setor comercial para assinar notas fiscais eletrônicas. Veja quantas pessoas de posse da sua certificação, a expiração é mais uma trava para evitar que ele se torne inutilizável apartir de certa data.
Meu certificado expirou ontem
Quando um certificado digital expira ele automaticamente não funciona mais, você não vai conseguir acessar o e-CAC, não vai conseguir assinar notas fiscais, etc. Assim é necessário a aquisição de outro, mediante ou a compra ou a renovação online de um novo.
Um fato curioso para falarmos aqui são em relação aos certificados digitais instalados em sites apenas: ao acessa-los você vai receber uma notificação na tela dizendo que há problemas com aquele site, e daí o navegador vai ter perguntar se é para continuar ou não. Neste caso, pode ser muitas coisas: O dono do site colocou um certificado auto-assinado, o site pode ter sido hackeado, o navegador não possui as cadeias de certificação no navegador, mas a causa mais comum é que o mesmo esteja expirado.
Um certificado que expirou há um dia pode parecer seguro de usar. Você pode questionar qual poderia ser o dano. Infelizmente, com certificados digitais, não é tão fácil de descobrir. Um que acabou de expirar poderia ainda ser seguro de usar. Mas você não tem como saber se essa chave privada ainda está sendo devidamente protegida, se o domínio mudou de dono desde que ele foi emitido, se os administradores do site simplesmente esqueceram de colocar um novo válido no site. Uma vez que ele expira, as CAs não são mais obrigadas a publicar o status de revogação desse certificado, então você não pode mais saber se ele foi revogado ou comprometido.
Encorajar os usuários a ignorar avisos de certificados é um péssimo hábito de segurança, e corre o risco de não acreditar no significado dos avisos. Isso, por sua vez, coloca os usuários em risco de ignorar um aviso que é muito mais perigoso.
Portanto, embora possa ser um problema estar ciente de todos os seus certificados, faça um favor aos seus usuários e configure um lembrete, a maioria das ACs permite que você configure notificações por e-mail quando a renovação se aproxima ou coloque-o em seu calendário. Mostrar um aviso de segurança quando um usuário tentar acessar o seu site não parece ser algo legal para você.
Novos certificados são cada vez mais modernos
No mundo da tecnologia, atualizar é de extrema importância. Tenho certeza de que conhecemos alguma empresa rodando Windows XP ou alguma outra peça de tecnologia horrivelmente desatualizada. Isso porque é muito difícil forçar as pessoas a atualizar, e suportar esses sistemas antigos é difícil e muitas vezes cria vulnerabilidades de segurança.
A vantagem dos certificados digitais possuírem data de expiração é que ele ajuda a manter as práticas de criptografias modernas.
Validade extensa é um problema de segurança
Houve um momento em que era possível obter certificados com uma validade bem extensa. Hoje, o limite é de três anos, (algumas empresas iniciaram a comercialização de 5 anos). Atualmente com o avanço da tecnologia, uma validade mais curta torna muito mais fácil atualizar os padrões de segurança. Nos últimos anos, toda a internet migrou para o novo algoritmo de assinatura SHA-2. Foi um pouco turbulento por causa daqueles certificados de mais de 5 anos, como antigos, possuem uma tecnologia ultrapassada.
Do ponto de vista das políticas em certificação digital, longos períodos de validade são um pesadelo. Desde o dia em que uma nova política foi promulgada, você teve que esperar até cinco anos para que o certificado atual de todos expirassem e começassem a seguir o novo padrão e, nesse meio tempo, você precisava manter planos de contingência para lidar com aqueles que não o fizeram. Em alguns casos, isso significava forçar os usuários a atualizar, mesmo que ele ainda seja válido.
O ITI é uma organização do setor que define as melhores práticas e padrões nacionais para a emissão de certificados digitais. Eles são os que garantem que os novos produtos não continuem a usar medidas de segurança antigas. Um dos objetivos para os quais possuem é definir as validades. Uma coisa que já se sabe é que quando os certificados digitais expiram com mais frequência, torna-se mais fácil melhorar as práticas de segurança.
Isso não quer dizer que a expiração resolva todos os problemas. Um grande número de servidores tem configurações SSL que fariam a maioria dos administradores de sistemas chorar. Mas, pelo menos a expiração mantém uma parte da nossa indústria atualizada.
Portanto, fique atento a data de validade e da próxima vez que você estiver renovando seu certificado digital, procure ofertas em nosso site e lembre-se de que ele está garantindo que todas as suas informações sejam precisas, provando aos clientes que você ainda é o proprietário e mantendo as medidas de segurança atualizadas.