A Microsoft lançou uma atualização em outubro de 2012 que tornou os certificados SSL com menos de 1024 bits não válidos como seguros. Essa atualização em particular também removeu a validação de chave fraca para quaisquer certificados na cadeia , o que incluiria Autoridades mais antigas assinadas com chaves fracas. A pergunta é: eles farão isso novamente para certificados de 2048 bits e, em caso afirmativo, em quanto tempo?
Eles definitivamente o farão, mas não há nenhuma orientação sobre quanto tempo isso pode acontecer . Pode ser no próximo ano, daqui a cinco anos. Quando eles fizeram isso da última vez, eles nos deram um aviso do mês , mas a melhor prática era usar certificados de 2048 bits por algum tempo.
O que está acontecendo é que as Autoridades de Certificação estão mudando para certificados mais strongs, e os verificadores externos de SSL começarão a reclamar sobre certificados fracos quando eles se depararem com os de 1024 bits. Alguns vendedores de alto perfil também estão fazendo isso.
Este é o seu sinal para iniciar o processo manual de atualização do seu certificado central para algo mais strong. Vai levar muito tempo, provavelmente alguns anos, mas pode ser feito sem problemas agora, e não em pânico, quando o aviso formal de descontinuidade chegar.
Como uma observação, aqueles de nós que, erm, criaram autoridades internas para uso inteiramente interno e apenas usaram o tamanho de chave padrão para qualquer PKI escolhida, e decidiram evitar o fiasco de remarcação definindo a data de expiração nesse certificado de tamanho de chave padrão para 2030? Nós, ahm, cometemos um erro lá.
Claro, mantivemos a chave em um pedaço de papel impresso em um cofre de banco que requer acesso biométrico. Mas se os métodos de força bruta permitem que um criminoso considere completamente a chave em 2015, toda aquela proteção divertida não tem sentido. Esta é a lição que estamos aprendendo agora.
Início do fiasco de recriação.