Wie een tls-certificaat wil aanschaffen dat langer dan 398 dagen geldig is heeft alleen vandaag nog de tijd om dit te regelen. Vanaf morgen zullen nieuw uitgegeven certificaten met een levensduur van meer dan 398 dagen niet meer door browsers en besturingssystemen worden geaccepteerd.
Websites gebruiken tls-certificaten voor identificatie en het opzetten van een https-verbinding. Op dit moment mogen tls-certificaten voor een periode van maximaal 825 dagen geldig zijn, anders worden ze door browsers geblokkeerd. Dat is bepaald door het CA/Browser (CA/B) Forum, een consortium van certificaatautoriteiten en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten.
Verschillende partijen, waaronder Apple, Cisco, Google, Microsoft, Mozilla en Opera, wilden de levensduur van certificaten naar 398 dagen verkorten. Een eerste voorstel hierover werd niet door het CA/B Forum aangenomen. Daarop lieten Apple, Google en Mozilla weten dat ze de maatregel eenzijdig gingen doorvoeren. Volgens Mozilla kan er zo sneller op beveiligingsincidenten worden gereageerd en kan veiligere technologie sneller worden doorgevoerd. Daarnaast lopen privésleutels van tls-certificaten die langer dan een jaar geldig zijn meer kans om te worden gecompromitteerd, aldus de browserontwikkelaar.
Hoewel certificaten maximaal 398 dagen geldig mogen zijn adviseerde Apple certificaatautoriteiten om certificaten met een maximale levensduur van 397 dagen uit te geven. Certificaatautoriteiten hebben daarop hun beleid aangepast. Zo besloot DigiCert vorige week al te stoppen met het uitgeven van certificaten die 825 dagen geldig zijn. De maatregel heeft geen effect op de populaire certificaatautoriteit Let's Encrypt. Certificaten van Let's Encrypt hebben een levensduur van maximaal negentig dagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.