image

Google: TLS-certificaten straks één jaar geldig

woensdag 11 maart 2020, 13:59 door Redactie, 4 reacties

TLS-certificaten, die websites gebruiken voor het opzetten van een beveiligde verbinding, zijn straks nog maar één jaar geldig in plaats van de 2 jaar en 3 maanden zoals nu het geval is. Dat stelt Google. Het techbedrijf lijkt daarmee vooruit te lopen op afspraken van het CA/Browser (CA/B) Forum.

Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Google stelde vorig jaar voor dat browsers vanaf maart dit jaar alleen nog maar TLS-certificaten van maximaal 13 maanden zouden moeten accepteren.

Afgelopen september besloot het CA/Browser Forum over het inkorten van de levensduur te stemmen. Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let's Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen.

Vorige maand werd bekend dat Apple niet gaat wachten totdat het CA/Browser Forum de kortere levensduur omarmt. Het techbedrijf zal eenzijdig de nieuwe termijn gaan handhaven. Safari zal certificaten met een levensduur van meer dan 398 dagen niet meer vertrouwen, waardoor gebruikers bij het bezoek van websites met een dergelijk certificaat een waarschuwing te zien krijgen.

Nu meldt Google dat de levensduur van certificaten in de "nabije toekomst" naar één jaar wordt teruggebracht. Dit heeft als gevolg dat certificaten vaker zullen moeten worden vervangen. Daarom gaat Google automatisch beheer van TLS-certificaten voor gebruikers van Google-diensten inschakelen. "Ons doel is eenvoudig: we willen dat TLS out of the box werkt, ongeachte welke Google-dienst je gebruikt", zegt Siddharth Bhai van Google.

Hiervoor maakt Google gebruik van een interne Automatic Certificate Management Environment (ACME), genaamd Google Trust Services. Hierdoor hoeven gebruikers zich geen zorgen meer te maken over verlopen certificaten, omdat certificaten voor klanten automatisch worden verlengd, merkt Bhai op. Daarnaast krijgen alle Blogger-blogs, Google Sites en Google My Business-sites nu standaard https voor hun eigen domeinen.

Reacties (4)
11-03-2020, 15:02 door Robby Swartenbroekx - Bijgewerkt: 11-03-2020, 15:03
Toch straf, de meerderheid beslist samen om het (nog) niet te doen, maar door de extreem dominante positie van Google op de browsermarkt (+50%), kunnen zij eenzijdig beslissen dit toch te doen, en de rest moet maar volgen, anders hebben website eigenaars binnenkort meer dan de helft bezoekers die hun site niet meer kunnen bereiken zonder eerst een beveiligingswaarschuwing weg te klikken.
11-03-2020, 15:13 door Briolet
Door LordPan: …en de rest moet maar volgen, anders hebben website eigenaars binnenkort meer dan de helft bezoekers die hun site niet meer kunnen bereiken zonder eerst een beveiligingswaarschuwing weg te klikken.

Ik denk dat als de rest echt niet volgt, vooral Google een probleem zal krijgen.

In het lijstje voorstanders staan volgens mij de 5 grootste browsers. Google zal vast wel gepolst hebben of zij ook mee gaan doen met de snellere implementatie.
16-03-2020, 17:46 door Anoniem
Het is pri-ma, wanneer je vanuit de services kant (wat Google hier lijkt te doen) de certificaten geautomatiseerd jaarlijks vervangt. Moeten zij verder weten, en als het goed geautomatiseerd verloopt… Top!
Is hen als aanbieder van services verder hun goed recht en mag altijd gevolgd worden door anderen

Ik zie in bovenstaande verhaal nergens gemeld dat ze ook direct van plan zijn om hun web browser (Google Chrome dus) daar ook op aan te passen. Dus als anderen besluiten om nog wel 2 jaar aan te houden, dan is er geen probleem voor de eindgebruiker.

Het verschil hier met Apple hier, is dat Apple van plan was/is om dit ook aan de client kant af te dwingen door middel van de Safari Browser: "Als je server of service een certificaat met een TTL van meer dan 12 maanden laat zien, dan beschouw ik hem per definitie als onveilig". Dat is echt te kort door de bocht, wanneer dat gebeurt zonder dat dit door het CA/B Forum in de internet brede standaard wordt gesteund.
16-03-2020, 18:06 door Anoniem
Niet erg practisch voor IoT, waar het vaak moeilijk is om certificaten te vervangen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.