Door Briolet: Erik van Straten De primaire reden daarvoor is dat het organisaties meer geld zal kosten om betrouwbare certificaten te kopen: het fatsoenlijk vaststellen van de identiteit van de aanvrager, en of deze legitiem in het bezit is van een domeinnaam, kost tijd en dus geld.
Dat lijkt me juist geen reden bij het vaker verlengen. De kosten van controle zitten in de eerste aanvraag en niet in de verlengingen want die gebruiken dezelfde domeinnaam(en) en je stuurt het verlengde certificaat naar hetzelfde bedrijf.
Bij DV-certificaten is dat simpel, want daar speelt het aspect "bedrijf" geen enkele rol.
Overigens was de tot voor kort door Let's Encrypt gebruikte methode minder veilig dan menigeen beweerde, zie halverwege
https://security.nl/posting/645176.
Zo simpel ligt dat echter niet bij OV- en EV-certificaten. Iedereen kan een sleutelpaar genereren, een CSR (Certificate Signing Request) maken voor bijvoorbeeld politie.nl en daar een "certificaatverlenging" voor aanvragen. Dat zal niet snel lukken, maar wat als je de mailbox van admin@ gehacked hebt? Elke CSP (Certificate Services Provider) zal zich op z'n minst aan haar eigen regels voor het verstrekken
en verlengen van certificaten moeten houden. Naast vaststellen dat de aanvrager (nog steeds) geautoriseerd is, zal elke fatsoenlijke CSP moeten vaststellen dat
alle hoofddomeinen, waar het certificaat geldig voor is, (nog steeds) in handen van de betreffende organisatie zijn.
En als dat allemaal niet nodig zou zijn bij verlenging (en bijv. het aantonen van het bezit van de private key horend bij het huidige certificaat zou volstaan), vraag ik me
helemaal af waarom de veiligheid voor gebruikers zou
toenemen - zoals Apple als reden opgeeft in haar decreet.