Het CA/Browser Forum heeft gestemd om de levensduur van SSL/TLS-certificaten over de komende vier jaar stapsgewijs terug te brengen naar 47 dagen. Stapsgewijs wordt de levensduur teruggebracht naar 200, 100 en vanaf maart 2029 nog slechts 47 dagen. Dit is een drastische afname ten opzichte van de huidige 398 dagen. De maatregel is unaniem aangenomen en moet bedrijven dwingen om certificaatvernieuwingen te automatiseren en de online veiligheid te verbeteren.
Het CA/Browser Forum is een samenwerkingsverband tussen certificaatautoriteiten (CA’s) en softwareontwikkelaars waaronder Google, Apple, Mozilla en Microsoft. Zij hebben gezamenlijk en unaniem de ingrijpende beslissing genomen om de SSL-certficaten te verkorten naar slechts 47 dagen. De groep hoopt met het verkorten van de levensduur van SSL-certificaten de veiligheid van software en het internet te vergroten.
Met 25 stemmen vóór en geen enkele stem tegen heeft het Forum besloten om de levensduur van SSL/TLS-certificaten drastisch te verkorten.
Lees ook: Meeste SSL-certificaatfouten gevolg van softwarefouten
Gefaseerde aanpak over vier jaar
De huidige levensduur van 398 dagen wordt niet in één keer teruggebracht. In plaats daarvan is gekozen voor een stapsgewijze aanpak, die bedrijven de tijd geeft om zich aan te passen aan de nieuwe realiteit:
- Vanaf 15 maart 2026 wordt de levensduur en DCV (Domain Control Validation) teruggebracht naar 200 dagen
- Vanaf 15 maart 2027 volgt een verdere reductie naar 100 dagen
- Vanaf 15 maart 2029 is de levensduur nog slechts 47 dagen en de DCV 10 dagen
Deze geleidelijke afname geeft organisaties voldoende tijd om het geautomatiseerd verlengen van certificaten te implementeren en hierop over te stappen.
Waarom deze verandering?
SSL/TLS-certificaten zijn essentieel voor veilige online communicatie. Ze maken versleutelde verbindingen mogelijk (HTTPS), waardoor gevoelige gegevens zoals wachtwoorden en creditcardgegevens niet kunnen worden onderschept door kwaadwillende partijen. Bovendien verifiëren ze de identiteit van websites en garanderen ze dat de uitgewisselde informatie niet is gemanipuleerd.
De leven van het CA/Browser Forum zien verschillende voordelen in het verkorten van de levensduur van certificaten:
- Minimalisering van risico’s door verouderde certificaatgegevens
- Vermindering van problemen met verouderde cryptografische algoritmen
- Beperking van de blootstelling aan buitgemaakte inloggegevens
- Aanmoediging van automatisering bij het vernieuwen en roteren van certificaten
Door deze aanpak zullen websites minder vaak met verlopen certificaten te maken krijgen, wat nu regelmatig leidt tot waarschuwingen in browsers dat verbindingen niet privé of veilig zijn.
Organisaties moeten processen rondom SSL-certificaten automatiseren
Voor organisaties zal deze wijziging tijdelijk leiden tot extra beheerslasten. De kortere levensduur van certificaten betekent immers dat ze vaker moeten worden vernieuwd. Wel dwingt het organisaties om het proces om SSL-certificaten te verlengen te automatiseren. Dat is overigens niet heel moeilijk, verschillende partijen bieden hier al oplossingen voor, waaronder een aantal cloudproviders, Let’s Encrypt, en certificaataanbieders die het ACME-protocol ondersteunen.
“Het huidige tijdsbestek van 398 dagen is te lang in het hedendaagse veiligheidslandschap,” was de consensus onder de meerderheid van de certificaatautoriteiten. Door over te stappen naar geautomatiseerd certificaatbeheer zal het ecosysteem uiteindelijk flexibeler en veiliger worden.