image

Mozilla hanteert vanaf mei nieuwe regels voor certificaatautoriteiten

woensdag 28 april 2021, 14:14 door Redactie, 5 reacties

Mozilla hanteert vanaf 1 mei nieuwe regels voor certificaatautoriteiten waarmee het aantal gemaakte fouten bij het uitgeven van nieuwe certificaten moet worden teruggedrongen. In de Root Store Policy beschrijft Mozilla hoe het met certificaten en certificaatautoriteiten omgaat. Versie 2.7.1 van het beleid zal op 1 mei aanstaande van kracht worden.

Certificaatautoriteiten spelen, doordat ze tls-certificaten voor websites uitgeven, een belangrijke rol bij het vertrouwen op internet. Met de Root Store Policy wil Mozilla ervoor zorgen dat het beter toezicht op de compliance van certificaatautoriteiten kan houden, de werkwijze van certificaatautoriteiten wordt verbeterd en er minder fouten worden gemaakt bij het uitgeven van nieuwe tls-certificaten.

De nieuwe regels gaan onder andere over de verplichte auditrapporten die certificaatautoriteiten moeten aanleveren, de documentatie die bij incidenten moet worden verstrekt en welke methodes mogen worden gebruikt om aan te tonen dat de private key van de certificaatautoriteit is gecompromitteerd. Naast de regels die op 1 mei van kracht worden zal het vanaf 1 oktober 2021 verplicht zijn voor certificaatautoriteiten om domeinen en ip-adressen binnen 398 dagen voor de uitgifte van een certificaat te verifiëren.

"Veel van deze aanpassingen zullen zorgen voor updates en verbeteringen van de processen van certificaatautoriteiten en auditors", aldus Ben Wilson van Mozilla. "Het updaten van de Root Store Policy verbetert het security-ecosysteem van het internet en de kwaliteit van elke https-verbinding, en helpt dus om je informatie privé en veilig te houden."

Reacties (5)
28-04-2021, 15:19 door Anoniem
Waarom 398?
28-04-2021, 16:52 door MartijnKaterbarg
Door Anoniem: Waarom 398?

Dit is ook het maximaal aantal dagen dat een SSL Certificaat geldig mag zijn (strict genomen maximaal 397).

Daarnaast geldt voor veel documentatie uit het validatie proces dat de gegevens maximaal 13 maanden oud mogen zijn (weer 397 in een schrikkeljaar)
28-04-2021, 17:29 door Briolet
Door Anoniem: Waarom 398?

Precies één jaar is onpraktisch omdat je de certificaten elk jaar in een vaste periode wilt updaten. Op de dag nauwkeurig kun je dat niet plannen vanwege weekenden of een weekje vrij. Zonder die maand speling moet je eigenlijk elk jaar weer eerder updaten en verschuift de update periode elk jaar een beetje.
28-04-2021, 18:02 door Anoniem
Geld dat ook voor letsencrypt? Of alleen voor niet amerikaanse organisaties. Het word tijd dat mozilla naar de pijpen van de EU gaat dansen.
28-04-2021, 23:04 door Anoniem
Door Anoniem: Geld dat ook voor letsencrypt? Of alleen voor niet amerikaanse organisaties.
Het is voor alle Certificaat Autoriteiten, dus ook Let's Encrypt.

Let's Encrypt heeft hier overigens geen enkele hinder van, omdat de certificaten die ze uitgeven direct ervoor een hostnaam/domeinnaam controle hebben gehad. En die certificaten zijn ook maar 90 dagen geldig. Wat betreft de tijdvakken betreft zitten ze (heel) ruim binnen de marges die Mozilla aangeeft.

In het verleden zijn er CA's geweest die bij een bepaalde domeinnaam controleerden of de informatie klopte, wat op dat moment dan het geval was. Maar die controle vervolgens meer dan anderhalf jaar later (bijvoorbeeld) als rechtvaardiging gebruikten om een certificaat uit te geven, terwijl de gegevens van het betreffende domein in de tussentijd waren gewijzigd. De "controle" was dus eigenlijk verlopen.

Het word tijd dat mozilla naar de pijpen van de EU gaat dansen.
Geen idee wat de redenatie hierbij zou moeten zijn...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.