Enkele maanden geleden was er in de hele sector discussie over de ideale geldigheidsduur van SSL/TLS-certificaten. Het was een vrij intensief debat dat er uiteindelijk toe leidde dat de certificeringsinstanties Googles voorstel om de maximale geldigheid terug te brengen tot één jaar wegstemden op het CAB Forum.
Vorige week kondigde Apple op de Face to Face CAB Forum Meeting in Bratislava (Slowakije) aan dat het de geldigheid van SSL/TLS wil beperken tot slechts 398 dagen (een jaar, plus ongeveer een maand om verlengingen beter te kunnen realiseren).
Dit vraagt om wat meer uitleg en we dachten dat het nuttig zou zijn om dit op een meer persoonlijk niveau te bespreken in termen die zinvol zijn voor de ondernemerswereld.
U hoeft uw SSL/TLS-certificaten niet te vervangen
Deze beslissing zal pas vanaf 1 september 2020 gevolgen hebben voor de consumenten. Vanaf dan mag elk uitgegeven SSL/TLS-certificaat niet langer dan 398 dagen geldig zijn – anders wordt het niet vertrouwd door de Mac OS- en iOS-systemen van Apple, en dat geldt dus ook voor alle Safari-gebruikers. Verder zullen Google en Mozilla, gezien de eerder uitgesproken wens om de geldigheid van certificaten te beperken, deze wijziging ook implementeren en waarschijnlijk dezelfde deadlines in acht nemen.
Wat dat voor u betekent, is dat er vanaf 1 september in feite geen tweejarige certificaatoptie meer beschikbaar is als u wilt dat uw website voor Apple-gebruikers werkt. Ook zult u vaker dan voorheen certificaten moeten vervangen of rouleren.
Belangrijk om te vermelden is dat u zich niet hoeft te haasten om VÓÓR 1 september een nieuw certificaat te kopen. De SSL/TLS-certificaten die vandaag geldig zijn uitgegeven, blijven geldig tot hun vervaldatum. Zodra u deze verlengt, moet u overschakelen naar een certificaat met een geldigheidsduur van één jaar.
Schenk dus geen aandacht aan mensen die u vertellen dat u uw certificaat nu moet vervangen.
En toen was er een ... jaar
De browsers geven al geruime tijd aan dat ze de voorkeur geven aan kortere geldigheidsperiodes voor publiek vertrouwde certificaten. Een kortere geldigheidsduur betekent in theorie een betere beveiliging, zowel wat betreft een verminderd risico op de aantasting van privé sleutels als wat betreft een frequentere verificatie van de identiteit in geval van wijzigingen in de SSL-identiteit – zoals namen van organisaties, adressen en actieve domeinen.
Houd er rekening mee dat het belangrijkste doel van deze browsers is om hun gebruikers te beschermen. En misbruik van publiek vertrouwde certificaten kan een grote bedreiging vormen. Vergeet niet dat op een gegeven moment de maximale geldigheid vijf jaar was. Dan drie. Dan twee. Nu één. Uiteindelijk zou de geldigheidsduur zelfs kunnen verminderen tot slechts 90 dagen – mogelijk zelfs 30 – maar deze beperking wordt bijna volledig gestuurd door de browsers.
Waarom is de vorige stemming van het CAB Forum mislukt?
De laatste stemming is vooral mislukt vanwege de timing. GlobalSign ging, samen met verschillende andere CA's, rechtstreeks naar zijn klanten en vroeg hun feedback. Er was gewoon geen vraag naar een kortere geldigheidsduur door een aantal verschillende factoren.
De Google-stemming probeerde de wijziging te implementeren vóór 1 april, minder dan zes maanden na de datum van de stemming, wat gewoon te snel was. Daarom werd er een verzoek ingediend om een datum vast te leggen die 12-18 maanden in de toekomst lag, zodat iedereen voldoende tijd zou hebben om zich voor te bereiden op de veranderingen.
Het lijkt erop dat Apple heeft besloten om het verschil te delen en te streven naar september.
Wat is het standpunt van GlobalSign over de korte geldigheidsduur van certificaten?
Bij GlobalSign zetten we onze klanten en partners op de eerste plaats – dat geldt voor elke beslissing die we nemen. Tegelijkertijd streven we er actief naar om het internet te verbeteren en het een veiligere plek te maken om te communiceren en zaken te doen.
Een kortere geldigheidsduur kan beter zijn voor de veiligheid, hoewel de browsers geen concrete lijst hebben gegeven van de beveiligingsproblemen en de ernst van het gebruik van certificaten met een geldigheidsduur van twee jaar. Met een goede beveiligingsanalyse van de kwetsbaarheden van een looptijd van twee jaar en een redelijker tijdschema voor deze veranderingen zou GlobalSign de overgang naar certificaten met een looptijd van één jaar ondersteunen. Maar terwijl de browsers een specifieke focus hebben die relevant is voor wat ze doen, hebben wij als certificeringsinstanties die ook. En we moeten ervoor zorgen dat onze klanten zich in een optimale positie bevinden voor deze verandering. Daarom is GlobalSign bereid om nauw samen te werken met elke organisatie die het beheer van de levenscyclus van certificaten wil stroomlijnen en verbeteren om deze beter af te stemmen op de inkomende browsermandaten over de geldigheid.
GlobalSign is al meer dan 15 jaar toonaangevend in de PKI-sector en ondanks de onorthodoxe manier waarop dit initiatief is geïntroduceerd, zijn we van plan om het web te blijven begeleiden naar meer automatisering en meer flexibele oplossingen voor het beheer van certificaten. Als u vragen heeft of wilt weten hoe we de frequentere roulatie van certificaten pijnloos voor u kunnen maken, kunt u altijd contact met ons opnemen.