TLS-certificaten straks één jaar geldig

[Captain Kirk]

TLS-certificaten, die websites gebruiken voor het opzetten van een beveiligde verbinding, zijn straks nog maar één jaar geldig in plaats van de 2 jaar en 3 maanden zoals nu het geval is. Dat stelt Google. Het techbedrijf lijkt daarmee vooruit te lopen op afspraken van het CA/Browser (CA/B) Forum.

Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Google stelde vorig jaar voor dat browsers vanaf maart dit jaar alleen nog maar TLS-certificaten van maximaal 13 maanden zouden moeten accepteren.

Afgelopen september besloot het CA/Browser Forum over het inkorten van de levensduur te stemmen. Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let's Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen.

Vorige maand werd bekend dat Apple niet gaat wachten totdat het CA/Browser Forum de kortere levensduur omarmt. Het techbedrijf zal eenzijdig de nieuwe termijn gaan handhaven. Safari zal certificaten met een levensduur van meer dan 398 dagen niet meer vertrouwen, waardoor gebruikers bij het bezoek van websites met een dergelijk certificaat een waarschuwing te zien krijgen.

Nu meldt Google dat de levensduur van certificaten in de "nabije toekomst" naar één jaar wordt teruggebracht. Dit heeft als gevolg dat certificaten vaker zullen moeten worden vervangen. Daarom gaat Google automatisch beheer van TLS-certificaten voor gebruikers van Google-diensten inschakelen. "Ons doel is eenvoudig: we willen dat TLS out of the box werkt, ongeachte welke Google-dienst je gebruikt", zegt Siddharth Bhai van Google.

Hiervoor maakt Google gebruik van een interne Automatic Certificate Management Environment (ACME), genaamd Google Trust Services. Hierdoor hoeven gebruikers zich geen zorgen meer te maken over verlopen certificaten, omdat certificaten voor klanten automatisch worden verlengd, merkt Bhai op. Daarnaast krijgen alle Blogger-blogs, Google Sites en Google My Business-sites nu standaard https voor hun eigen domeinen.

 

 

bron: security.nl