Quando e quando não registrar certificados públicos SSL/TLS

Antes de decidir se quer registrar um certificado em registros de CT, é importante entender que na grande maioria de situações, registrar seus certificados em registros públicos de CT é a opção correta.

Contudo, sabemos que você pode ter domínios internos que não deseja tornar público em registros de CT. Tais domínios podem ser excluídos de registros CT. Abaixo estão algumas informações para ajudá-lo a tomar a decisão correta sobre registros de CT.

Quando deve registrar meu certificado público SSL/TLS?

Se o certificado estiver protegendo um site público, você sempre deve registrá-lo em logs públicos de CT.

  • Suas informações do certificado já estão publicamente disponíveis. Um visitante do seu site pode clicar no ícone de bloqueio no navegador para ver os detalhes do certificado; as mesmas informações disponíveis em logs públicos de CT.
  • Não há benefício em não registrar o certificado, apenas desvantagens: agora, os navegadores exigem registro de CT (Chrome, Safari e outros navegadores), e certificados publicamente confiáveis que não estejam registrados causarão um alerta não confiável. Isso interrompe a conexão do usuário ao seu site e torna o seu site menos utilizável.

Quando devo manter minhas informações do certificado SSL/TLS em particular?

Se o certificado estiver protegendo um site interno ou particular e você possuir os nomes da organização e domínios que precisam ser mantidos em particular por motivos de identidade visual, privacidade ou segurança de rede, é possível escolher não registrar o certificado.

A desvantagem é que grande parte dos navegadores possui requisitos de registro de CT (por ex., Chrome, Safari, etc.) e qualquer um entrando em seu site visualizará um alerta não confiável. Então, certifique-se de que você:

  • Realmente precisa manter os nomes da organização em domínio em particular.
  • Está preparado para gerenciar os usuários que visitam este site e recebem um alerta não confiável.