Einde aan meerjarige TLS-certificaten

Geplaatst op 15 mei 2020 · webhosting · certificaten

Certificaten waarmee o.a. HTTPS-websites worden beveiligd zijn straks vanaf september 2020 nog maximaal een jaar geldig. Voortaan moeten deze certificaten tenminste jaarlijks worden verlengd. Dit heeft Apple laten weten aan het CA/B-forum.

Het CA/B-forum is een overlegorgaan van certificaatautoriteiten en browsermakers. Eerder is in het CA/B-forum al besloten dat EV-certificaten maximaal twee jaar geldig zouden zijn, en is de maximale geldigheidsduur van andere certificaten teruggebracht van drie naar twee jaar. Nu wordt de geldigheidsduur van alle certificaten gemaximaliseerd 398 dagen (één jaar plus een ruime maand om het certificaat te vervangen).

Certificaten die t/m augustus worden uitgegeven worden wel gedurende de volledige geldigheidsduur vertrouwd. Dit betekent dat je nog tot half augustus de tijd hebt om een meerjarig certificaat aan te vragen of je bestaande meerjarige certificaat te verlengen. Je kunt al verlengen als je bestaande certificaat nog een aantal maanden geldig is. NederHost zal in juli en augustus klanten met een meerjarig certificaat dat vervalt voor november benaderen om het nog snel te laten verlengen.

Certificaten met een kortere geldigheidsduur worden geacht veiliger te zijn; door certificaten korter te gebruiken worden updates aan veiligheidseisen (zoals sleutellengtes en het gebruik van bepaalde hashingalgoritmes) sneller uitgevoerd en zullen in theorie ook de sleutels vaker geroteerd worden.

Als je Let’s Encrypt gebruikt dan verandert er niets: die certificaten zijn al maximaal drie maanden geldig en worden volledig geautomatiseerd vervangen. Als je Let’s Encrypt-certificaten op je eigen server wilt gaan gebruiken dan regel je dit eenvoudig met acme.sh dat ondersteuning biedt voor de NederHost DNS-API.

Tags

Recente blogposts