image

Tls-certificaten vanaf 1 september maximaal 398 dagen geldig

maandag 31 augustus 2020, 12:38 door Redactie, 13 reacties

Wie een tls-certificaat wil aanschaffen dat langer dan 398 dagen geldig is heeft alleen vandaag nog de tijd om dit te regelen. Vanaf morgen zullen nieuw uitgegeven certificaten met een levensduur van meer dan 398 dagen niet meer door browsers en besturingssystemen worden geaccepteerd.

Websites gebruiken tls-certificaten voor identificatie en het opzetten van een https-verbinding. Op dit moment mogen tls-certificaten voor een periode van maximaal 825 dagen geldig zijn, anders worden ze door browsers geblokkeerd. Dat is bepaald door het CA/Browser (CA/B) Forum, een consortium van certificaatautoriteiten en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten.

Verschillende partijen, waaronder Apple, Cisco, Google, Microsoft, Mozilla en Opera, wilden de levensduur van certificaten naar 398 dagen verkorten. Een eerste voorstel hierover werd niet door het CA/B Forum aangenomen. Daarop lieten Apple, Google en Mozilla weten dat ze de maatregel eenzijdig gingen doorvoeren. Volgens Mozilla kan er zo sneller op beveiligingsincidenten worden gereageerd en kan veiligere technologie sneller worden doorgevoerd. Daarnaast lopen privésleutels van tls-certificaten die langer dan een jaar geldig zijn meer kans om te worden gecompromitteerd, aldus de browserontwikkelaar.

Hoewel certificaten maximaal 398 dagen geldig mogen zijn adviseerde Apple certificaatautoriteiten om certificaten met een maximale levensduur van 397 dagen uit te geven. Certificaatautoriteiten hebben daarop hun beleid aangepast. Zo besloot DigiCert vorige week al te stoppen met het uitgeven van certificaten die 825 dagen geldig zijn. De maatregel heeft geen effect op de populaire certificaatautoriteit Let's Encrypt. Certificaten van Let's Encrypt hebben een levensduur van maximaal negentig dagen.

Image

Reacties (13)
31-08-2020, 14:10 door Anoniem
Dus de miljardenbedrijven gaan weer eens bepalen hoe het Internet eruit moet zien...

Hoe ziet een vrij Internet er eigenlijk uit als iedereen straks afhankelijk is van een CA...?

Juist, daarom is het ook waanzin om TLS te gebruiken op websites waar geen belangrijke informatie wordt uitgewisseld... 90% van het Internet is prima af met HTTP
31-08-2020, 15:23 door Anoniem
Door Anoniem: Hoe ziet een vrij Internet er eigenlijk uit als iedereen straks afhankelijk is van een CA...?

Juist, daarom is het ook waanzin om TLS te gebruiken op websites waar geen belangrijke informatie wordt uitgewisseld... 90% van het Internet is prima af met HTTP
Ook in situaties waarbij er geen belangrijkse informatie uitgewisseld wordt, is een beveiligde verbinding belangrijk. Denk bijvoorbeeld aan het voorkomen van advertentie injecties van een ISP. In Nederland naar mijn weten niet gebruikelijk, maar in andere delen van de wereld wel. Een andere aanval die voorkomen wordt is dat passief onderschept netwerkverkeer (lees afluisteren door overheden) eenvoudig gecorreleerd kan worden op basis van unieke tracking cookies. Wellicht is de informatie op de website niet belangrijk, de passief afgeluisterde tracking cookies van Google zullen dat wel zijn.

Overigens gaat het wat ver om te stellen dat “iedereen straks afhankelijk is van een CA”. In een public key infrastructuur (PKI) ben je dat namelijk sowieso al. Daarnaast kan je ook je eigen software aanpassen en naar willekeur andere CA's toevoegen aan de root trust store. Je zou dat hele certificaat controle gedoe zelfs uit kunnen schakelen. Niemand verplicht je tot iets.
31-08-2020, 15:30 door Anoniem
Door Anoniem: Dus de miljardenbedrijven gaan weer eens bepalen hoe het Internet eruit moet zien...

Hoe ziet een vrij Internet er eigenlijk uit als iedereen straks afhankelijk is van een CA...?

Juist, daarom is het ook waanzin om TLS te gebruiken op websites waar geen belangrijke informatie wordt uitgewisseld... 90% van het Internet is prima af met HTTP

De klok horen luiden maar geen idee waar de klepel hangt. 90% op http? Laten we dat doen, kunnen we weer lekker verkeer injecteren in de communicatie!
31-08-2020, 15:42 door [Account Verwijderd]
Door Anoniem: Dus de miljardenbedrijven gaan weer eens bepalen hoe het Internet eruit moet zien...

Hoe ziet een vrij Internet er eigenlijk uit als iedereen straks afhankelijk is van een CA...?

Juist, daarom is het ook waanzin om TLS te gebruiken op websites waar geen belangrijke informatie wordt uitgewisseld... 90% van het Internet is prima af met HTTP
De reden voor het massale gebruik van HTTPS was juist de afluisterwoede van de inlichtingendiensten.
Edward Snowden liet dit zaakje rollen, weten we nog?
31-08-2020, 21:37 door Anoniem
Dit gaat over soevereiniteit

Steeds korter durende certificaten zijn op den duur alleen nog maar betaalbaar als die uit de megastores van de techreuzen komen. Dat betekent dat alle validatie info (metatgegevens) ook naar die techreuzen gaat. Als de certificaten zo kortdurend zijn dat die per sessie worden geplaatst, dan is er geen validatie meer nodig, dan izijn die metagegevens al beschikbaar voordat het kortdurende certificaat is geplaatst. Dit is de mooiste technische reden die je kan bedenken om de GDPR te omzeilen.

Alleen maar te voorkomen door Europese Formele Ca's onder Europese wetgeving (net als in de eIDAS-construct) die additioneel afdwingt dat techreuzen (en elk andere IT-vendor) verplicht de Europese Formele CA's in de resp truststores op te nemen. Daarmee is dan ook het aspect aansprakelijkheid geregeld.

Alleen dan is Europese soevereiniteit nog te waarborgen
31-08-2020, 22:44 door Anoniem
Waarom treedt de overheid niet op tegen dit kunstmatig beperken van certificaten in tijd? Dit is voor niks, maar dan ook echt niks nodig.
31-08-2020, 23:37 door Anoniem
Er is absoluut geen reden om de levensduur te beperken, behalve geld. Toevallig hebben deze bedrijven ook CA organisaties. Immers een certificaat kan simpel 'revoked' worden mits het gecompromomiteerd was.
01-09-2020, 06:52 door Anoniem
Door Anoniem: Dit gaat over soevereiniteit
Steeds korter durende certificaten zijn op den duur alleen nog maar betaalbaar als die uit de megastores van de techreuzen komen. [/quote]Als je met “'techreuzen” Apple/Google/Microsoft bepaalt, dan is dat niet juist. Dat zijn namelijk niet de CA's waar je geld naar toe gaat als je een certificaat koopt.

Dat betekent dat alle validatie info (metatgegevens) ook naar die techreuzen gaat.
Als je met “metagegevens” verwijst naar het bestaan van een website, dan heb je daar deels gelijk in. Overigens zijn er vaak ook DNS validatie mogelijkheden waarbij je server niet bereikbaar hoeft te zijn. En naast dat wildcard certificaten waardoor je niet eens de echte domainnaam van een server hoeft op te geven.

Als de certificaten zo kortdurend zijn dat die per sessie worden geplaatst, dan is er geen validatie meer nodig, dan izijn die metagegevens al beschikbaar voordat het kortdurende certificaat is geplaatst. Dit is de mooiste technische reden die je kan bedenken om de GDPR te omzeilen.
Inhoudelijk klopt hier alleen niet zo veel van. Als je voor elke verbinding een nieuw certificaat gaat aanvragen gaat er wel echt iets verkeerd.
01-09-2020, 09:03 door Anoniem
De globale druk is onontkoombaar.
luntrus
01-09-2020, 12:00 door Anoniem
Zucht... Van deze dingen wordt ik nou verdrietig, mensen die er wel iets over willen zeggen maar geen flauw idee hebben wat ze uitkramen.
Door Anoniem: Dus de miljardenbedrijven gaan weer eens bepalen hoe het Internet eruit moet zien...

Hoe ziet een vrij Internet er eigenlijk uit als iedereen straks afhankelijk is van een CA...?

Juist, daarom is het ook waanzin om TLS te gebruiken op websites waar geen belangrijke informatie wordt uitgewisseld... 90% van het Internet is prima af met HTTP

Door Anoniem: Waarom treedt de overheid niet op tegen dit kunstmatig beperken van certificaten in tijd? Dit is voor niks, maar dan ook echt niks nodig.
Waarom zou de overheid optreden voor een groepje mensen die het probleem niet snappen.


Door Anoniem: Er is absoluut geen reden om de levensduur te beperken, behalve geld. Toevallig hebben deze bedrijven ook CA organisaties. Immers een certificaat kan simpel 'revoked' worden mits het gecompromomiteerd was.
Het simpel 'revoke' werkt niet goed en heeft ook nog nooit goed gewerkt.


Alsjeblieft mensen denk na of de comment ergens op slaat voordat je zelf deze onzin gaat uitkramen
02-09-2020, 17:50 door Anoniem
Tja, niet jammeren, als er een alternatief voor die VS partijen subsidie nodig heeft, is er geen geld te vinden. Penny wise, Pound foolish zijn we hier.
02-09-2020, 18:09 door Anoniem
Door Anoniem: Zucht... Van deze dingen wordt ik nou verdrietig, mensen die er wel iets over willen zeggen maar geen flauw idee hebben wat ze uitkramen.
Door Anoniem: Dus de miljardenbedrijven gaan weer eens bepalen hoe het Internet eruit moet zien...

Hoe ziet een vrij Internet er eigenlijk uit als iedereen straks afhankelijk is van een CA...?

Juist, daarom is het ook waanzin om TLS te gebruiken op websites waar geen belangrijke informatie wordt uitgewisseld... 90% van het Internet is prima af met HTTP

Door Anoniem: Waarom treedt de overheid niet op tegen dit kunstmatig beperken van certificaten in tijd? Dit is voor niks, maar dan ook echt niks nodig.
Waarom zou de overheid optreden voor een groepje mensen die het probleem niet snappen.


Door Anoniem: Er is absoluut geen reden om de levensduur te beperken, behalve geld. Toevallig hebben deze bedrijven ook CA organisaties. Immers een certificaat kan simpel 'revoked' worden mits het gecompromomiteerd was.
Het simpel 'revoke' werkt niet goed en heeft ook nog nooit goed gewerkt.


Alsjeblieft mensen denk na of de comment ergens op slaat voordat je zelf deze onzin gaat uitkramen


En de argumentatie van tijd is sowieso discutabel, moet het na jaar dan misschien verlaagd worden naar 90 dagen? Hoezo is een jaar wel goed? Als er iets na een maand gebeurd, heb je nog steeds het revoke stelsel nodig anders gaat het nog 11 maanden fout.
Dus ik ben niet echt overtuigd van je kennis, ik denk dat het CA/B Forum er meer van weet dan jij.
02-09-2020, 18:35 door Anoniem
Door Anoniem: Dit gaat over soevereiniteit

Steeds korter durende certificaten zijn op den duur alleen nog maar betaalbaar als die uit de megastores van de techreuzen komen. Dat betekent dat alle validatie info (metatgegevens) ook naar die techreuzen gaat. Als de certificaten zo kortdurend zijn dat die per sessie worden geplaatst, dan is er geen validatie meer nodig, dan izijn die metagegevens al beschikbaar voordat het kortdurende certificaat is geplaatst. Dit is de mooiste technische reden die je kan bedenken om de GDPR te omzeilen.

Alleen maar te voorkomen door Europese Formele Ca's onder Europese wetgeving (net als in de eIDAS-construct) die additioneel afdwingt dat techreuzen (en elk andere IT-vendor) verplicht de Europese Formele CA's in de resp truststores op te nemen. Daarmee is dan ook het aspect aansprakelijkheid geregeld.

Alleen dan is Europese soevereiniteit nog te waarborgen

Precies!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.