Apple wil maximale levensduur voor tls-certificaten van 45 dagen
Als het aan Apple ligt zijn tls-certificaten straks nog maar maximaal 45 dagen geldig, in plaats van de huidige 398 dagen. Dat blijkt uit een voorstel van Apple. Het inkorten van de datum zou tussen september 2025 en september 2027 moeten plaatsvinden, waarbij de levensduur gefaseerd wordt ingekort. In september 2025 wordt gestart met tweehonderd dagen, gevolgd door honderd dagen een jaar later. Vanaf september 2027 zouden certificaten dan nog maar 45 dagen geldig moeten zijn.
Een Apple-medewerker deed het voorstel tijdens overleg van het Certification Authority Browser Forum (CA/B Forum). Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Een aantal jaar geleden nam het consortium de beslissing om de geldigheid van certificaten in te korten tot 398 dagen.
Volgens voorstanders van een kortere levensduur van certificaten heeft dit allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is. Tegenstanders stellen dat vooral wanneer het niet mogelijk is om certificaten automatisch te vervangen de kortere levensduur voor allerlei problemen zorgt. De plannen van Apple zorgden voor honderden reacties op Hacker News en Reddit. Het CA/B Forum zal waarschijnlijk ergens in de komende maanden over het voorstel stemmen.
Zorg voor betere revoke mogelijkheden en plan audit momenten in als dat al niet gebeurt.
De gene die geen ruk geven om veiligheid zullen hier ook niks van aantrekken terwijl de gene die wel omgeven het werk enkel lastiger gemaakt wordt en het feitelijk niks oplevert.
Misschien kunnen we naar een situatie waarbij we een certificaat gaan aanvragen en installeren voor elke bezoeker, duurt het even wat langer voor de site op je scherm staat maar dan is het wel echt goed veilig hoor.
Hier ziet u voorbeelden van domeinnamen van veelal anonieme dropshippers wiens webshops binnenkort live gaan (en vaak veel korter dan 45 dagen bestaan): https://www.virustotal.com/gui/ip-address/23.227.38.66/relations (zie ook https://pointer.kro-ncrv.nl/dropshippers-betrouwbare-juwelenhuizen-plastic-nepsieraden-china-online-misleiding).
Een voorbeeld, sinds enkele dagen live: https://danour.nl. Lovende reviews op Trustpilot (aldus Danour zélf), maar zojuist nog onvindbaar op https://nl.trustpilot.com/review/danour.nl. Voorheen bekend als https://shoppingfusion.nl. En dit zijn nog relatief "brave" partijen (zo kan het ook: https://www.virustotal.com/gui/ip-address/213.226.123.47/relations).
Zomaar twee voorbeelden van krankzinnige anonieme domeinnamen die weer worden witgewassen bij parkeerders: https://crt.sh/?q=com-id20341.info en https://crt.sh/?q=confirms329922.com.
(*) Voorbeeld, uit https://youtube.com/watch?v=3oqu5WqmS5Y ("Bar Laat" van dinsdagavond):
This video may be inappropriate for some users.
Zie https://infosec.exchange/@ErikvanStraten/113323164774075780 (en followup) waarom.
De uitzending is overigens gewoon (zonder inloggen) te bekijken in https://npo.nl/start/serie/bar-laat/seizoen-1/bar-laat_31/afspelen, het -vermoedelijk- voor jongeren ongeschikte deel vanaf 27:05.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (ISO)
Dienst Justitiële Inrichtingen
Ben jij een tech-liefhebber met een passie voor informatiebeveiliging? Wil je jouw expertise inzetten om de veiligheid te waar-borgen binnen een dynamische omgeving? Dan is de rol van Informatiebeveiligings-functionaris bij Justitieel Complex Zaanstad wellicht jouw volgende avontuur! In deze rol ben jij de sleutel tot het creëren en handhaven van een veilige werkomgeving, waarbij onze organisatie optimaal blijft draaien.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.