Vanaf 1 september kunnen SSL/TLS-certificaten niet worden uitgegeven voor langer dan 13 maanden (397 dagen). Deze wijziging werd voor het eerst aangekondigd door Apple, tijdens het CA/Browser Forum Spring Face-to-Face-evenement in Bratislava in maart dit jaar.
Vorige week kondigde Google tijdens het zomerevenement van het (virtueel gehouden) CA/B Forum aan dat het van plan was de wijzigingen van Apple te matchen met zijn eigen root-programma.
Er is ook een browsergestuurde stemming die probeert de basisvereisten van de industrie af te stemmen op de nieuwe wijzigingen in het root-programma. Over dat probleem wordt momenteel gedebatteerd door het forum.
We realiseren ons dat er hier misschien veel te behappen is, dus in het belang van een beetje duidelijkheid gaan we dit in deze blogpost behandelen.
De reden voor de kortere levensduur van een SSL/TLS-certificaat
Vanuit een hoog niveau theoretisch standpunt zijn er twee primaire voordelen van kortstondige certificaten:
Het eerste is het technische onderdeel: een langere levensduur betekent dat het langer duurt om updates en wijzigingen organisch uit te rollen. Een realistisch voorbeeld zou de overgang van SHA1 naar SHA2 zijn. Tenzij u een hele reeks certificaten intrekt en de klant dwingt deze opnieuw uit te geven, kan het jaren duren voordat alle oude certificaten zijn vervangen. In het geval van SHA1 duurde het drie jaar. Dat schept risico.
Het andere voordeel heeft te maken met identiteit: hoe lang moet de informatie die wordt gebruikt om een identiteit te valideren, vertrouwd blijven? Hoe langer de tijd tussen de validaties, hoe groter het risico. Google heeft gezegd dat in een ideale wereld de domeinvalidatie ongeveer elke zes uur zou plaatsvinden.
Vóór 2015 kon u een SSL/TLS-certificaat uitgegeven krijgen tot aan vijf jaar. Dat werd teruggebracht tot drie, en in 2018 opnieuw tot twee. Eind 2019 werd op het CA/B-forum een stemming voorgelegd die deze zou hebben teruggebracht tot een jaar - de stemming werd resoluut afgewezen door de certificeringsinstanties.
Dus waarom wordt het certificaat dan toch teruggebracht tot een jaar?
Het CA/Browser-forum is een branchegroep die bijeenkomt om te stemmen over een reeks basisvereisten voor de uitgifte van vertrouwde digitale certificaten. Wat het echter niet is, is een bestuursorgaan. Hoewel de CA's hun bezorgdheid en onwil uitten om de maximale geldigheid opnieuw te verlagen, hebben Apple en Google het recht om het beleid voor hun root-programma's naar eigen goeddunken te updaten.
We begrijpen dat we zojuist een hele reeks branche jargon naar u hebben geworpen, dus laten we heel snel een stapje terug doen en ervoor zorgen dat de vorige alinea logisch is.
Certificeringsinstanties en browsers hebben een onderling afhankelijke relatie. Browsers moeten certificaten gebruiken om vertrouwensbeslissingen te nemen over websites en om verbindingen te beveiligen. Aan de CA-kant, wat hebben we aan een openbaar certificaat als hij niet wordt vertrouwd door een browser?
De manier waarop dit allemaal wordt beheerd, is via de root-programma's. Er bestaan vier belangrijke root-programma's:
- Microsoft
- Apple
- Mozilla
- Google (de laatste twee staan bekend als Googzilla - lol)
Overigens zult u merken dat die vier ook achter de grote browsers zitten op zowel uw desktop als uw mobiele apparaat. Om ervoor te zorgen dat de certificaten van een CA worden vertrouwd door de root-programma's, en in het verlengde ervan de browsers en besturingssystemen die er gebruik van maken, moet zij zich houden aan de richtlijnen van dat root-programma. Het CA/B-forum is een brancheforum dat idealiter helpt bij het vergemakkelijken van veranderingen in de root-programma's (en het ecosysteem zelf).
Maar de root-programma's, die als browser deelnemen, kunnen nog steeds eenzijdig handelen en naar eigen goeddunken wijzigingen aanbrengen. Wanneer dit gebeurt, dicteert de behoefte aan interoperabiliteit in feite dat welk root-programmabeleid de strengste normen heeft, feitelijk de nieuwe basisvereiste wordt.
Zo zijn we hier gekomen. Laten we het nu hebben over wat dit voor uw website betekent.
Wat een kortere SSL/TLS-geldigheid betekent voor website-eigenaren
Om te beginnen: dit gaat in op 1 september 2020. Dus als u een certificaat van twee jaar gebruikt dat vóór 1 september is afgegeven, blijft uw certificaat geldig tot de oorspronkelijke vervaldatum. U kunt alleen niet meer voor twee jaar verlengen.
Of anders gezegd: u heeft tot één september de tijd om tweejarige certificaten te verkrijgen. Daarna worden ze naar de prullenbak van de geschiedenis van de desktop verbannen.
Vanuit het perspectief van een groter geheel bekeken, zou dit een goed moment kunnen zijn om te overwegen om meer van uw functies voor het beheer van de levenscyclus van certificaten te automatiseren. Speciaal voor grotere organisaties die tientallen publiek vertrouwde websitecertificaten beheren, maar ook voor organisaties die openbaar vertrouwde e-mailcertificaten gebruiken, en tevens elke organisatie die gebruik maakt van een particuliere CA of PKI-gebaseerde elektronische handtekeningen. U kunt ook overwegen om sommige certificaten van openbaar naar particulier vertrouwen te verplaatsen, wat ook helpt bij het beheer - u zou met die methode zelfs certificaten kunnen uitgeven met een langere geldigheid.
Anders, zoals de zaken nu gaan met de root-programma's die blijven aandringen op een kortere geldigheid - zullen organisaties op een zeker moment in de toekomst vrijwel gedwongen worden om veel van deze dingen te automatiseren.
Het is beter om dat nu te onderzoeken dan wanneer uw voeten tegen het vuur worden gedrukt.
Hoe GlobalSign omgaat met certificaten van één jaar
In het belang van de eenvoud - om het proces zo eenvoudig mogelijk te maken - biedt GlobalSign SSL/TLS-klanten de maximale geldigheid van 397 dagen aan wanneer ze vanaf 31 augustus certificaten voor één jaar bestellen. Dit geldt voor nieuwe bestellingen en verlengingen, om een maximale geldigheid te bieden ten voordele van onze klant.
U wilt uw certificaat nog steeds verlengen voordat hij verloopt, maar aangezien we niet meer dan 90 dagen extra kunnen aanbieden, raden we u aan om binnen 30 dagen na de vervaldatum te verlengen.
Hoe zit het met het opnieuw uitgeven van mijn certificaten?
U vraagt zich misschien af wat er gebeurt als u één van uw tweejarige certificaten opnieuw uitgeeft nadat deze wijziging van kracht is geworden. Nou, we hebben goed nieuws voor u!Als u een certificaat opnieuw uitgeeft en de geldigheid verliest (we zijn verplicht om de geldigheid tot 397 dagen te beperken), kunt u het certificaat later opnieuw uitgeven - idealiter minder dan 397 dagen voordat uw oorspronkelijke certificaat verloopt - en de verloren geldigheid van uw eerste heruitgifte herstellen! Dit werkt op dezelfde manier als in 2018 toen we van een maximale geldigheidsduur van drie jaar naar twee jaar gingen.
Een punt om op te merken is dat het EV-heruitgifteproces een beetje anders is, vanwege de eisen van de EV Richtlijnen aan het opnieuw uitgeven van certificaten. Hoewel u uw certificaten nog steeds opnieuw kunt uitgeven, worden ze in de wachtrij gezet voor een handmatige beoordeling en we dienen ervoor te zorgen dat alle validaties up-to-date zijn voordat we ze kunnen vrijgeven.
Als u vragen heeft over hoe deze wijzigingen uw organisatie of website in het bijzonder kunnen beïnvloeden, aarzel dan alstublieft niet om contact met ons op te nemen.
Zoals altijd zullen we u op de hoogte blijven houden naarmate de zaken evolueren.