Google wil levensduur certificaten verkorten naar 13 maanden

[Captain Kirk]

Als het aan Google ligt zijn tls-certificaten die websites voor een versleutelde verbinding gebruiken straks nog maximaal 13 maanden geldig, in plaats van de 2 jaar en 3 maanden die nu wordt gehanteerd. Het voorstel van Googles Ryan Sleevi werd onlangs besproken tijdens een bijeenkomst van het CA/Browser Forum en afgelopen vrijdag gedeeld via de mailinglist van de organisatie.

Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Volgens Sleevi, die steun kreeg voor zijn voorstel van Apple en Let's Encrypt, heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is.

Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen. Sleevi pleit ervoor om het voorstel dan ook snel door te voeren. Browsers zouden dan vanaf maart 2020 de kortere levensduur van certificaten kunnen gaan handhaven. Het zal echter nog eens 825 dagen duren voordat het laatste certificaat met een langere levensduur is verlopen en browsers van de kortere levensduur zullen profiteren. Tegen die tijd zijn we al in juni 2022 beland, merkt Sleevi op.

Certificaatautoriteit DigiCert is niet blij met het plan. Het bedrijf twijfelt aan de beoogde compliance-voordelen. Door een kortere levensduur kunnen certificaten sneller aan nieuwe regels voldoen, maar DigiCert stelt dat het CA/Browser Forum juist regels moet opstellen die lange tijd kunnen meegaan. "Deze veranderingen maken het veel lastiger voor bedrijven om hun internetverkeer en klanten te beschermen, zonder dat het voordelen heeft", zegt Timothy Hollebeek van DigiCert. Het bedrijf zal zich dan ook tegen het voorstel verzetten. Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de commerciële belangen van diens grote klanten wil beschermen.

 

 

bron: security.nl