1 de abr. de 2026

Próximas Alterações nas Raízes TLS e nos Perfis de Certificados

VISÃO GERAL: Este artigo explica as próximas alterações impulsionadas pelo setor que afetam os certificados raiz TLS de confiança pública da GlobalSign e os perfis de certificados TLS. Essas alterações são introduzidas por programas de raiz de navegadores (principalmente no Mozilla Firefox e no Google Chrome) e pelo CA/Browser Forum. A GlobalSign está atualizando sua infraestrutura para permanecer em total conformidade, minimizando o impacto sobre os clientes. Esta página é atualizada regularmente para refletir as últimas novidades. Recomendamos que você adicione esta página aos favoritos e volte para conferir as orientações mais recentes. Para mais avisos sobre SSL/TLS, consulte esta página.

Garantia Importante

• Os certificados raiz existentes da GlobalSign não estão sendo revogados. 
• As raízes mais antigas continuarão a existir e poderão ainda ser utilizadas durante o seu tempo de vida natural para:
  • Casos de uso não TLS, ou 
  • Ambientes que não exigem confiança pública do navegador
• Os certificados intermediários (ICAs) emitidos sob esses certificados raiz também não serão revogados.

Resumo das Principais Mudanças

Os fornecedores de navegadores atualizam periodicamente suas políticas de armazenamento de raízes para melhorar a segurança e a consistência do ecossistema. Atualizações recentes de políticas do Mozilla Firefox, Google Chrome e do CA/Browser Forum introduziram três mudanças principais que afetam os certificados TLS de confiança pública:

1. Limites máximos de idade das raízes: o Mozilla Firefox e o Google Chrome não confiarão mais em certificados TLS que tenham uma cadeia de raízes com idade superior a um limite definido.
2. Requisitos de raiz dedicada a TLS: certificados TLS de confiança pública devem ser emitidos a partir de raízes dedicadas exclusivamente a TLS e devem conter apenas o EKU de Autenticação de Servidor (ServerAuth).
3. Vigência mais curta dos certificados TLS: O CA/Browser Forum aprovou a redução da validade máxima dos certificados TLS para 200 dias a partir de 15 de Março de 2026.

 NOTA: Essas alterações se aplicam apenas a certificados TLS de confiança pública.

Cronograma do Chrome e da Mozilla para Remoção da Confiança com base na Idade da Raiz

Tanto o Chrome quanto a Mozilla anunciaram seus planos de remover a confiança em raízes TLS mais antigas com base nas datas em que foram criadas.
                                                                                                                                                             

Material da Chave Raiz Criado	Confiança do Navegador Removida para TLS	Raízes da GlobalSign Aplicáveis
Antes de 2006	15 de Abril de 2025	Raiz GlobalSign R1 (Emissão desativada)
2006 - 2007	15 de Abril de 2026
2008 - 2009	15 de Abril de 2027	Raiz GlobalSign R3*
2010 - 2011	15 de Abril de 2028
2012 - 14 de Abril de 2014	15 de Abril de 2029	Raiz GlobalSign R5 (ECC)
15 de Abril de 2014 - presente	15 anos a partir da criação	Raiz GlobalSign R6

 

* Para a Raiz R3, a GlobalSign deve interromper a emissão dos certificados TLS de 200 dias até 27 de Agosto de 2026 para garantir a confiança total do navegador durante toda a sua vida útil.
 

Transição para Raízes Dedicadas a TLS e Perfis de Certificado

As raízes dedicadas a TLS são usadas apenas para certificados TLS de confiança pública. Elas não são compartilhadas com e-mail seguro, assinatura de código ou outros casos de uso de PKI.
Em 2019, a GlobalSign criou proativamente duas raízes dedicadas a TLS:

• R46 - Raiz TLS RSA
• E46 - Raiz ECC TLS

Quando emitidos a partir de raízes dedicadas a TLS, os certificados TLS devem:

• Conter apenas o Uso de Chave Estendido (EKU) de Autenticação de Servidor (ServerAuth)
• A autenticação de cliente (ClientAuth) e outras EKUs não serão mais permitidas
   

Restrição SCTNotAfter do Chrome

As raízes atuais da GlobalSign (R3, R5, R6) são raízes multifuncionais. As políticas dos navegadores agora exigem que a emissão de TLS seja separada de outros casos de uso de PKI.
O Google Chrome aplicará uma restrição SCTNotAfter a todas as raízes multifuncionais da GlobalSign:

• Data de vigência: 13 de Setembro de 2026 (90 dias após 15 de junho de 2026)
• Os certificados emitidos antes dessa data continuarão sendo confiáveis durante todo o seu período de validade
• Os certificados emitidos após essa data não serão considerados confiáveis pelo Google Chrome
   

E se Você Precisar de Autenticação de Cliente?

Se você precisar de certificados TLS com EKU ClientAuth ou não precisar de confiança do navegador, a GlobalSign recomenda usar o IntranetSSL, que oferece:

• Maior validade do certificado
• Períodos mais longos de reutilização de domínio
• Sem verificação CAA
• Sem registro de transparência de certificados (CT) (privacidade adicional)
   

O que Isso Significa para Você

• Se você usa certificados TLS de confiança pública:
  • Você fará a transição automaticamente para raízes dedicadas a TLS com base nos prazos abaixo
  • Prazos de validade mais curtos para certificados (200 dias) serão aplicados a partir de Março de 2026
  • Certificados com EKU ClientAuth não estarão mais disponíveis a partir de raízes TLS públicas
• Se você não precisa de confiança do navegador:
  • Não é necessária nenhuma ação imediata
  • As raízes existentes permanecem válidas para casos de uso não TLS
  • O IntranetSSL pode ser uma opção melhor a longo prazo

Plano de Transição da GlobalSign

Clientes Atlas

Consulte o Plano de Transição Atlas - GlobalSign para obter mais informações.

Clientes GCC

• 4º trimestre de 2025: Criação de novas CAs MSSL OV/EV para uso opcional
• 27 de Julho de 2026: Todos os produtos de clientes e parceiros migrarão para raízes dedicadas a TLS
• 13 de Setembro de 2026: Todas as contas restantes que não migraram em julho serão transferidas para raízes dedicadas a TLS
• Certificação cruzada: a GlobalSign fornecerá certificados cruzados R3→R46 e R5→E46 para garantir a máxima compatibilidade durante a transição

NOTA: Recomenda-se que os clientes que não necessitem de confiança do navegador utilizem o IntranetSSL.