O CA/Browser Forum votou oficialmente para alterar os Requisitos da Linha de Base do TLS para definir um cronograma para reduzir a vida útil de certificados TLS e a reutilização das informações validadas pelo CA nos certificados. Os primeiros impactos da votação sobre o usuário ocorrem em março de 2026.

A votação foi há muito discutida no CA/Browser Forum e passou por várias versões, incorporando feedback das autoridades certificadoras e seus clientes. O período de votação terminou em 11 de abril de 2025, fechando um capítulo disputado e permitindo que o mundo dos certificados se planeje para o que vem a seguir.

O novo cronograma de vida útil de certificados TLS

A nova votação tem como meta a validade do certificado de 47 dias, tornando a automação essencial. Antes dessa proposta feita pela Apple, o Google promoveu uma vida útil máxima de 90 dias, mas eles votaram a favor da proposta da Apple quase imediatamente após o início do período de votação.

Este é o cronograma:

• A vida útil máxima do certificado está diminuindo:

  • Até 15 de março de 2026, a vida útil máxima para um certificado TLS é de 398 dias.
  • A partir de 15 de março de 2026, a vida útil máxima para um certificado TLS será de 200 dias.
  • A partir de 15 de março de 2027, a vida útil máxima de um certificado TLS será de 100 dias.
  • A partir de 15 de março de 2029, a vida útil máxima de um certificado TLS será de 47 dias.

   

• O período máximo durante o qual as informações de validação de domínio e endereço IP podem ser reutilizadas está diminuindo:

  • Até 15 de março de 2026, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 398 dias.
  • A partir de 15 de março de 2026, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 200 dias.
  • A partir de 15 de março de 2027, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 100 dias.
  • A partir de 15 de março de 2029, o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de 10 dias.

• Até 15 de março de 2026, as validações das Informações de Identidade do Participante (SII) só podem ser reutilizadas por 398 dias, e não mais 825 dias. SII é o nome da empresa, e outras informações encontradas em um certificado OV (Organization Validated) ou EV (Extended Validation), ou seja, tudo, exceto o nome de domínio ou endereço IP protegido pelo certificado. Isso não afeta os certificados DV (Domain Validated), que não têm SII.

   

Por que 47 dias?

47 dias podem parecer um número arbitrário, mas é uma sequência simples:

• 200 dias = 6 meses máximos (184 dias) + 1/2 mês de 30 dias (15 dias) + 1 dia de margem de manobra
• 100 dias = 3 meses máximos (92 dias) + ~1/4 mês de 30 dias (7 dias) + 1 dia de margem de manobra
• 47 dias = 1 mês máximo (31 dias) + 1/2 mês de 30 dias (15 dias) + 1 dia de margem de manobra

Justificativa da Apple para a mudança

Na votação, a Apple apresenta muitos argumentos em favor das mudanças, uma das quais vale mais a pena destacar. Eles afirmam que o CA/B Forum tem dito ao mundo há anos, ao encurtar constantemente os tempos de vida máximos, que a automação é essencialmente obrigatória para o gerenciamento eficaz do ciclo de vida dos certificados.

A proposta colocada em votação argumenta que vidas mais curtas são necessárias por muitos motivos, sendo o mais proeminente o seguinte: As informações nos certificados estão se tornando cada vez menos confiáveis ao longo do tempo, um problema que só pode ser mitigado revalidando as informações com frequência.

A proposta colocada em votação também argumenta que o sistema de revogação usando CRLs e OCSP não é confiável. Na verdade, os navegadores muitas vezes ignoram esses recursos. A proposta tem uma longa seção sobre as falhas do sistema de revogação de certificados. Vidas mais curtas reduzem os efeitos do uso de certificados possivelmente revogados. Em 2023, o CA/B Forum levou essa filosofia a outro nível, aprovando certificados de curta duração, que expiram em 7 dias e que não exigem suporte CRL ou OCSP.

Esclarecer a confusão sobre as novas regras

Dois pontos sobre as novas regras provavelmente causarão confusão:

1. Os três anos para as mudanças nas regras são 2026, 2027 e 2029, mas a diferença entre o segundo conjunto de anos é de dois anos.
2. A partir de 15 de março de 2029, a vida útil máxima para um certificado TLS será de 47 dias, mas o período máximo durante o qual as informações de validação de domínio podem ser reutilizadas é de apenas 10 dias. A revalidação manual ainda será tecnicamente possível, mas isso abriria caminhos para falhas e interrupções.

Como autoridade de certificação, uma das perguntas mais comuns que ouvimos dos clientes é se eles terão que pagar mais para substituir os certificados com mais frequência. A resposta é não. O custo é baseado em uma assinatura anual, e o que aprendemos é que, uma vez que os usuários adotam a automação, eles geralmente mudam voluntariamente para ciclos de substituição de certificados mais rápidos.

Por esse motivo, e como até mesmo as alterações de 2027 nos certificados de 100 dias tornarão os procedimentos manuais insustentáveis, esperamos a rápida adoção da automação muito antes das alterações de 2029.

A declaração da Apple sobre o gerenciamento automatizado do ciclo de vida dos certificados é indiscutível, mas é algo para o qual estamos nos preparando há muito tempo. A DigiCert oferece várias soluções de automação por meio do Trust Lifecycle Manager e do CertCentral, inclusive suporte para ACME. O ACME da DigiCert permite a automação de certificados DV, OV e EV, e inclui suporte para informações de renovação ACME (ARI).

Entre em contato para obter mais informações sobre como fazer o melhor uso da automação.

Os avanços mais recentes em confiança digital

Quer saber mais sobre tópicos como gerenciamento de certificados, automação e TLS/SSL? Assine o blog da DigiCert para ter certeza de que vai estar sempre por dentro de tudo.