O ecossistema de certificados digitais está prestes a passar por mudanças drásticas nos próximos anos. O CA/Browser Forum —organismo que reúne as principais autoridades certificadoras (CAs) e fabricantes de navegadores— aprovou um plano para reduzir gradualmente a vida útil máxima dos certificados TLS para apenas 47 dias a partir de 2029.
A principal motivação por trás dessa mudança é simples, mas contundente: certificados com validade longa têm se mostrado cada vez menos confiáveis e a única maneira de garantir a segurança na web é revalidá-los com mais frequência e automatizar completamente sua gestão.
Dentre os defensores dessa proposta, destacam-se grandes nomes da tecnologia, como a Apple, que apresentou a ideia no CA/Browser Forum com a “Ballot SC-81”. Após meses de debates, a proposta foi aprovada em abril de 2025, com o respaldo de empresas como o Google, que anteriormente defendia um limite de 90 dias. O consenso entre as principais figuras do ecossistema de navegação e sistemas operacionais deixa uma mensagem clara: a gestão manual do ciclo de vida dos certificados está com os dias contados.
Atualmente, o limite prático mais restritivo é de 398 dias para um certificado TLS de servidor, que já havia sido reduzido em relação ao passado, onde as validades poderiam chegar a 3 ou 5 anos. Com a nova norma, o CA/Browser Forum traçou um calendário de implementação. Até março de 2026, a validade máxima já será reduzida para 398 dias, seguida por 200 dias em 2026, 100 dias em 2027 e, finalmente, 47 dias em março de 2029. Isso significa que, ao final dessa década, qualquer organização que ainda pense em “renovar uma vez ao ano” ficará completamente desatualizada.
As razões para essa redução substancial são diversas. Em primeiro lugar, a informação contida nos certificados envelhece mal: a titularidade de um domínio pode mudar rapidamente, tornando validades longas arriscadas. Além disso, os sistemas tradicionais de revogação, que deveriam descartar certificados comprometidos, não têm funcionado de forma eficiente. Por último, experiências anteriores com certificados de curta duração mostraram que uma combinação de validade curta e automação leva a resultados mais seguros.
Com o novo cenário, a automação da gestão de certificados se torna não apenas uma opção desejável, mas uma necessidade imperativa. O protocolo ACME (Automatic Certificate Management Environment), por exemplo, já provou ser uma solução viável para a emissão e renovação automática de certificados, minimizando a necessidade de intervenções humanas.
Diante dessas transformações, as empresas precisam se preparar. Um dos primeiros passos é auditar todos os certificados existentes, garantindo que todos os domínios e subdomínios estejam devidamente mapeados. Além disso, é essencial adotar soluções que permitam a automação do processo de emissão e renovação de certificados, além de centralizar a gestão e monitoramento desses ativos.
Com essas mudanças, a cultura de gerenciamento de credenciais deve evoluir, adotando uma abordagem que considere que todos os certificados e tokens devem ter uma curta vida útil. Portanto, mesmo as pequenas empresas precisarão se adaptar a essa nova realidade, que promete impactar o funcionamento rotineiro de negócios em todo o mundo.
