O pesadelo de qualquer dono de e-commerce é ver sua página fora do ar. E não precisa ser nenhum especialista em TI para saber que isso pode acontecer por vários motivos e que, na maioria das vezes, o problema poderia ser evitado. Portanto, fique de olho. Em setembro deste ano uma mudança na data de validade dos certificados TLS pode derrubar a loja dos empreendedores mais distraídos.
Os fabricantes de navegadores (Apple, Google e Mozilla) anunciaram que, desde 1º de setembro de 2020, os certificados TLS recém-emitidos publicamente são válidos por não mais que 398 dias. Isso significa o seguinte: apenas os certificados adquiridos antes do dia 1º de setembro têm validade de dois anos. A partir de agora, portanto, a validade será de praticamente um ano. As certificadoras passaram a emitir certificados com validade exata de 397 dias, para que seus usuários tenham pelo menos 24 horas de vantagem antes do vencimento. No caso de navegadores, a expiração implicará naturalmente em uma mensagem de erro e um reset da conexão com o servidor.
Antes de 2015, era possível obter um certificado SSL / TLS por até cinco anos. Esse período foi reduzido para três anos, em 2018 para dois anos, e agora para um ano. Em teoria, validade de certificado mais curta significa melhor segurança e verificação de identidade com maior frequência no caso de alterações na identidade SSL, como nomes de organizações, endereços e domínios ativos.
É importante lembrar que o certificado SSL / TLS é a tecnologia padrão para manter segura uma conexão à internet e proteger todos os dados confidenciais enviados entre dois sistemas — impede que criminosos leiam e modifiquem qualquer informação. No caso do e-commerce, os dois sistemas são o site e o cliente. Este tipo de certificado usa algoritmos de criptografia para embaralhar as informações em trânsito, impedindo que criminosos tenham acesso a elas. Com isto dados pessoais, como números de cartão de crédito, nomes, telefone e endereços, permanecem protegidos.
Mas o que esta mudança significa para o e-commerce?
A segurança digital tem impacto direto na reputação do comércio eletrônico. Um site seguro traz mais confiança aos consumidores. É por isto que os empresários precisam adaptar seus certificados o mais rápido possível. Afinal, ninguém quer ver seu negócio fora do ar ou na lista negra. Os certificados de curta duração melhoram a segurança porque reduzem a janela de exposição se um certificado TLS for comprometido. À medida em que os períodos de validade dos certificados continuam diminuindo, será necessário investir cada vez mais em automação. Isso porque ela ajudará na organização e gerenciamento da vida útil dos mesmos.
Alterar a validade do certificado de dois para um ano significa cortar a vida útil dos certificados pela metade. Isso, consequentemente, dobra a chance de perder um certificado caso ele vença. Portanto, sua equipe de TI ou fornecedor terá que trabalhar um pouco mais em termos de gerenciamento de certificados, a menos que sua empresa adote soluções que já incluam estas automações. A grande vantagem é que, com chaves de certificado alternadas frequentemente, você corre menor risco de invalidar seu certificado, de inatividade de sua página e de expô-la à ataques de hackers.
O que devo fazer para adaptar meu negócio?
A primeira etapa é falar com seu parceiro CA (Autoridade de Certificação), a empresa que emite os certificados SSL / TLS. Ela deverá garantir a você que os certificados têm validade de um ano, uma vez que os fabricantes de navegadores irão considerar uma como uma “violação política” quaisquer sites com certificados de validade superior a 398 dias. Eles podem, inclusive, mover ações disciplinares em caso de descumprimento. Feito isto, sugiro que tente solicitar o seu novo certificado com maior antecedência possível. O ideal seria de duas semanas a um mês. Isso garantirá que seu pedido possa ser validado e processado a tempo.
Além disso, considere se sua CA permite que clientes e parceiros tenham durações de certificado flexíveis de até horas, o que será muito útil no caso de certificados de curto prazo. No mercado há empresas com planos plurianuais — de dois, três, quatro, cinco e seis anos — para certificados TLS. Isso evita os aborrecimentos dos processos de aquisição corporativa. além de oferecer um desconto por cada ano de cobertura que escolherem. Se ela oferecer automação para todo o ciclo de vida, melhor ainda.
Esquecer de renovar ou substituir um certificado SSL que está expirando pode acontecer com qualquer negócio. Por isso existem muitas ferramentas disponíveis para ajudar a minimizar o risco que isso representa. O fundamental é ter uma boa visibilidade destes prazos, ações bem pensadas para não perder a data de validade e, se possível, apostar em sua automação.