Chrome en Firefox gaan tls-certificaten weigeren die langer dan 398 dagen geldig zijn
Google Chrome gaat later dit jaar tls-certificaten weigeren die langer dan 398 dagen geldig zijn. Dat blijkt uit aanpassingen aan de browsercode. De nieuwe situatie gaat in op 1 september. Alle certificaten die vanaf die datum worden uitgegeven moeten een maximale levensduur van 398 dagen hebben. Wanneer certificaten over een langere levensduur beschikken zal Chrome die weigeren.
Vorig jaar augustus pleitte Google er al voor om de levensduur in te korten naar dertien maanden. Het techbedrijf kreeg steun van Apple en certificaatuitgever Let's Encrypt. Volgens Google heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is. Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.
Google stelde vorig jaar voor dat browsers vanaf maart dit jaar de kortere levensduur van certificaten zouden kunnen gaan handhaven. Tijdens een bijeenkomst van het CA/Browser Forum in september werd erover het voorstel gestemd. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten.
Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let's Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen. In februari werd bekend dat Apple eenzijdig vanaf 1 september voor nieuw uitgegeven certificaten een maximale levensduur van 398 dagen gaat hanteren.
Vervolgens liet Google in maart weten dat de levensduur van certificaten in de "nabije toekomst" naar één jaar zou worden teruggebracht. In het geval Chrome- of Safari-gebruikers straks een website bezoeken die een versleutelde verbinding aanbiedt via een tls-certificaat dat op of na 1 september is uitgegeven, en langer dan 398 dagen geldig is, zullen de browsers een certificaatwaarschuwing laten zien.
Update
Ook Mozilla laat weten dat Firefox vanaf 1 september een maximale levensduur van 398 dagen voor nieuw uitgegeven certificaten gaat hanteren. Hierop is de titel aangepast.
Het heeft securityvoordelen dezelfde certificaat lang te gebruiken om te voorkomen dat er iemand tussen kan gaan zitten. Ze kunnen beter eerst eens DNSSEC en DANE gaan regelen. Dit is een slechte en niet passende fixpoging.
O, nu krijgt Google de schuld van een door Apple ingezette trend. Knap. En Mozilla dan? Mozilla loopt ook aan de leiband van Google?
Daarom moet Google ook niet denken, dat ze alles maar kunnen maken en overal mee wegkomen. Ze zijn zo daar weer uitgekomen, waar ze begonnen zijn. Niet zo moeilijk in onze onzekere COVID-19 tijden.
Hoogmoed is overal steeds voor de val gekomen en het DARPA & Big Silicon Valley & Forest gebeuren zal daar geen uitzondering op vormen. Alle grote Imperia bestonden maarvoor een paar generaties en kwam het verval en de neergang.
luntrus
Te veel zout in jouw eten is ook onveilig. Maar dat wil niet zeggen dat we een ander probleem niet ook op hoeven te lossen.
Je kunt op Google schelden, etc.
Maar Safari (Apple) heeft dit als eerste gedaan, dan maakt het in praktijk niet meer uit wat de rest wil dan kunnen ze ook over op 1 keer per jaar. Want op publieke Internet kun je dan dus al niet langer meer dan 1 jaar.
Waarschijnlijk heeft Apple hier voor gekozen omdat zijn het slechte checken op andere manieren of een certificaat niet toevallig ingetrokken is omdat een private key gestolen is.
Vervolgens liet Google in maart weten dat de levensduur van certificaten in de "nabije toekomst" naar één jaar zou worden teruggebracht. In het geval Chrome- of Safari-gebruikers straks een website bezoeken die een versleutelde verbinding aanbiedt via een tls-certificaat dat op of na 1 september is uitgegeven, en langer dan 398 dagen geldig is, zullen de browsers een certificaatwaarschuwing laten zien.
Duidelijk, huidige certificaten vallen hier nog niet onder dus.
Ook Mozilla laat weten dat Firefox vanaf 1 september een maximale levensduur van 398 dagen gaat hanteren. Hierop is de titel aangepast.
Ik mis hier nog of Firefox dezelfde check hanteert, dus voor certificaten op of na 1 september uitgegeven. De Git link zegt inderdaad na 31 augustus en dat ze gaan checken of een certificaat langer geldig is dan 395 dagen. Misschien handig dat even erbij zetten!
NUL!
Nadelen:
#1 elke keer certificaten vervangen is nodeloos complex,
#2 kost downtime,
#2 DUUR,
#3 veroorzaakt meer storingen,
Voordelen:
#1 constante cashflow voor bedrijven die certs uitbrengen
Maar gelukkig moet ik nu 5 zinloze kliks doen om mijn eigen UPSen, PDU's, Firewalls, smarthome appliance, al mijn NASsen, enz enz te kunnen beheren...
Internet is er erg veiliger op geworden.. NOT.
#1 Your connection is not private - klik op advanced, klik op proceed to... en dat voor certs die nog tot 2030 geldig zijn.
Nadelen:
#1 elke keer certificaten vervangen is nodeloos complex,
Of je stapt 1 keer over naar een aanbieder waarbij je de certificaten automatisch kunt verlengen, dat is dan 1 keer tobben
maar daarna gaat het verder vanzelf (zeker als die aanbieder geen domme fouten maakt).
Dan zou je zelfs met een nog kortere levensduur kunnen werken, bijv 2 a 3 maanden.
Tijd is ook geld dus meer tijd aan iets besteden is duur.
Nadelen:
#1 elke keer certificaten vervangen is nodeloos complex,
Of je stapt 1 keer over naar een aanbieder waarbij je de certificaten automatisch kunt verlengen, dat is dan 1 keer tobben
maar daarna gaat het verder vanzelf (zeker als die aanbieder geen domme fouten maakt).
Dan zou je zelfs met een nog kortere levensduur kunnen werken, bijv 2 a 3 maanden.
Ik zie het probleem niet in dat certificaten langer dan 1 jaar geldig zijn. Als er blijkt dat er wat mis is, dan kan het root ca de certificaten intrekken. En dat doet er niet toe of een certificaat 389 dagen oud is, 2/3/5/10 jaar.
Korter is dus veiliger? Waarom dan niet elke maand vernieuwen???
Hier worden bijna alle webservers en devices, zoals switches en routers, ook automatisch van Let's Encrypt voorzien.
Tijd is ook geld dus meer tijd aan iets besteden is duur.[\quote]
Er is tegenwoordig geen verschil meer tussen certificaten van bijvoorbeeld Digicert en Let's Encrypt.
Nadelen:
#1 elke keer certificaten vervangen is nodeloos complex,
Of je stapt 1 keer over naar een aanbieder waarbij je de certificaten automatisch kunt verlengen, dat is dan 1 keer tobben
maar daarna gaat het verder vanzelf (zeker als die aanbieder geen domme fouten maakt).
Dan zou je zelfs met een nog kortere levensduur kunnen werken, bijv 2 a 3 maanden.
Ja.
Of je moet natuurlijk opgescheept zitten met devices die alleen self-signed certificaten ondersteunen. Anders is er geen verschil.
De huidige (3-jaarlijkse) procedure is vaak zo ingewikkeld dat iemand die niet regelmatig certificaten ververst er niet uitkomt. Er zijn nog steeds (grote) bedrijven waar certificaten verlopen omdat men vergeten is dat over te dragen bij een functiewijziging of ontslag van degene die het 2 jaar geleden deed.
En het verbaast me iedere keer weer dat men Google de schuld geeft van zaken die Apple gestart is. :(
@redactie: Wordt het niet eens tijd om "Fake News" meldingen te plaatsen bij dergelijk commentaat?
Peter
Je moet natuurlijk nog wel wat regelen om die aangevraagde certificaten weer over te brengen naar de devices waar
ze op moeten. Daar zijn ook wel tools voor.
"niet leuk" is meer afhankelijk van wat je leuk vindt. steeds maar certificaten aanvragen (en betalen) bij officiele uitgevers
en die handmatig downloaden (door allerlei hoepels springend "voor de security") en die gedownloade certificaten weer
moeizaam in een ander format omzetten en handmatig in het apparaat zetten, dat vind IK dan weer "niet leuk".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
