SSL/TLS certifikater begrænses til 825 dage
Det gælder alle SSL certifikater udstedt af en offentlig godkendt CA. Længden gør at man kan forlænge et certifikat med 2 år og få de sidste op til 3 måneder, på det nye certifikat.
Det er CA/Browser forum der har vedtaget denne ændring og selv om den først træder i kraft 1. marts 2018, kommer det allerede nu til at give ændringer.
Genbrug af validering fx ved genudstedelse, vil også blive påvirket. Det betyder at 3 års certifikater, måske skal valideres igen, før de kan genudstedes i det sidste år.
Historisk er den maksimale levetid blevet mindre, fra ubegrænset til 60 måneder, til nuværende 39 måneder og nu næste skift til 825 dage.
For at undgå at certifikater kan blive kortet ned, begynder nogle af CA’erne allerede nu at ændre på hvor lang tid man kan købe certifikater for.
Det betyder at allerede næste uge (ca. 20 april 2017), stopper de første med at udstede 3 årige certifikater og kun tage imod bestillinger på 2 år.
Resten af CA’erne vil være tvunget til at følge trop, et sted imellem nu og 1. marts 2008, vil 3 års muligheden forsvinde helt.
Det handler om SSL/TLS sikkerhed
Årsagen til at man ønsker en kortere maksimal levetid for SSL/TLS certifikater, er at nedenstående type af certifikater naturligt hurtigere udløber:
- Certifikater lavet med dårlige og evt. brudte teknologier, som fx SHA-1.
- Certifikater valideret ud fra standarder der senere er blevet strammet op, fx DNS/URL valideringsindhold.
- Certifikater udstedt med forkert eller misvisende information.
- Certifikater udstedt på baggrund af ond vilje, hackere, mm.
Der var faktisk 3 uger inden afstemningen for dette forslag, et forslag om at sænke certifikat gyldigheden til 13 måneder. Dette blev heldigvis kraftigt nedstemt, grundet den forventede langt større administrative byrde.
Den nye standard for 825 dage eller cirka 27 måneder, er altså et kompromis i mellem hurtigere udskiftning grundet sikkerhed og øget administrationsudgifter ved oftere udskiftning.
Hvad betyder det for dig?
Det påvirker ikke nogen nuværende udstedte certifikater.
Det påvirker ikke normal dagligdag. Det ændrer selvfølgelig på hvor ofte der skal installeres et SSL certifikat på et givent system. Og for dem med mange systemer, kan det give en del ekstra timer om året.
CA/Browser Forum er en sammenslutning af de største offentlige certifikatudstedere og browserproducenter, der sammen vedtager fælles regler for SSL/TLS.