SSL-certificaten voortaan maximaal 13 maanden geldig

SSL-certificaten met een geldigheidstermijn van twee jaar zijn niet meer beschikbaar. Sinds vandaag mogen nieuwe certificaten maximaal dertien maanden geldig zijn.

Geen enkele moderne browser en geen enkel modern OS neemt vanaf vandaag nog genoegen met nieuwe TSL/SSL-certificaten met een geldigheid van langer dan 13 maanden. Bestaande certificaten verkregen voor 1 september blijven wel geldig. Dat betekent in de praktijk dat je geen certificaten voor twee jaar meer kan krijgen. De maximale houdbaarheidsdatum ligt voortaan op 397 dagen.

De beperking in tijd van de geldigheid is iets waar beveiligingsprofessionals al een tijdje om vragen. Ze maakt het onder andere mogelijk om probleemcertificaten sneller uit te faseren wanneer er een bug in de encryptie wordt ontdekt. Hetzelfde geldt wanneer iemand een privaat TLS-certificaat kan stelen: de maximale tijd waarin een aanvaller dat certificaat dan kan misbruiken, wordt sterk beperkt. De vraag viel echter op dovenmansoren bij de providers van certificaten.

Apple

Apple nam in maart van dit jaar het heft in eigen handen en besloot op z’n eentje om certificaten ouder dan 397 dagen uitgegeven na 1 september niet meer te vertrouwen. Dat vereenvoudigde de zaak: wie weigerde mee te gaan in de aanpassing, ging per definitie in de problemen komen op hardware van Apple. Gezien het marktaandeel van het Amerikaanse bedrijf konden websites zich niet bepaald permitteren om als onveilig aangeduid te worden op iOS en macOS. Apple overtuigde vrij snel Google en Mozilla om mee op de kar te springen, waarna ook de rest van de relevante partijen toegaf.

Moet je nu zelf iets doen? Gelukkig niet. TLS/SSL-Certificaten met een geldigheid van twee jaar uitgegeven voor vandaag blijven gewoon geldig. Vernieuw je vanaf vandaag je certificaat, dan bieden providers de facto uitsluitend certificaten met een geldigheid van maximaal 397 dagen aan. Je loopt in theorie dus geen risico om per ongeluk met een te lang geldig certificaat aan de slag te gaan. Het betekent natuurlijk wel dat je certificaten voortaan meer moet vernieuwen om op een later tijdstip niet in de problemen te komen.