Alle servercertifikater bliver begrænset til under 398 dages levetid før 1. September.

Den korte udgave

Fra og med 1. September 2020, kan der kun laves SSL/TLS server-certifikater der er under 398 dage, dvs. cirka 1 år og 1 måned.

Eksisterende certifikater der er lavet frem til og med 31. August 2020, kan teknisk være op til 825 dage, dvs. cirka 2 år og 3 måneder.

Så længe certifikatet er lavet senest i August 2020, kan det laves i op til 825 dage. Ønsker I at forlænge certifikater i dag, der måske har mere end 90 dage tilbage, kan det også lade sig gøre hos de fleste udstedere. Kontakt os gerne.

Hvis et certifikat skal genudstedes efter 31. August 2020, hvorpå der er mere end 397 dage tilbage, vil det ved genudstedelsen blive reduceret til 397 dage. Det vil normalt være muligt at gratis genudstede certifikatet af flere omgange og på den måde få den fulde tid man havde købt.

Det påvirker ikke “interne” certifikater udstedt fra intern CA, som er tilføjet til computeren af bruger eller administrator i godkendte udstedere.

Vores anbefaling

Hvis et certifikat kan fornyes inden september 2020 og der ikke er stor sansynelighed for at certifikatets SAN navne skal ændres senere eller certifikatet skal genudstedes, anbefaler vi at forny med 2 år, senest i august 2020.

Derudover vil certifikaterne blot være på 1 år af gangen.

Vi hjælper gerne med at gennemgå muligheder for virksomheder der ønsker at automatisere certifikater via ACME protokollen, via API, via Azure Key Vault, eller har andet behov for automatisering.

Der er også mulighed for at få “automatisk fornyelse” eller købe certifikater for flere år af gangen, men de ændrer ikke på at certifikatet stadig skal installeres hver gang. Hvis der er et ønske om at bruge disse services kontaktes vi gerne.

Hvornår bestemte certifikater begrænses

CodeSign og e-mail certifikater påvirkes ikke og kan fortsat købes i op til 3 år.

Certifikater udstedt fra egen privat CA, fx internt i virksomheden bliver ikke påvirket.

Certifikater fra følgende brands reduceres til 397 dage efter den 18. August 2020

  • Sectigo
  • Comodo (nu Sectigo)

Certifikater fra følgende brands reduceres til 397 dage efter den 27. August 2020

  • DigiCert
  • Thawte
  • GeoTrust
  • RapidSSL

Certifikater fra følgende brands reduceres til 397 dage efter den 31. August 2020

  • GlobalSign
  • AlphaSSL

Hvem kræver kortere levetid

Det er Apple, Google Chrome og Mozilla, som står sammen om ændringen.

Det er browserne med Google Chrome i spidsen, der sammen hårdt tvinger denne ændring ned over CA’er og brugerne af certifikater. Og denne gang er ændringen for første gang ikke godkendt i CAB forumet via afstemning. Derimod har browserne blot meldt ud at de implementerer kode der afviser certifikater, der er udstedt fra 1. September med en total levetid over 398 dage. Og at CA’er der er uenige, kan blive fjernet fra browsernes genkendte CA rodcertifikater.

Hvad skal blive mere sikkert

Der hvor det helt klart vil hjælpe, er når der bliver opdaget sikkerhedshuller eller bestemt sikkerhedsændringer for certifikater, fx. udfasning af MD5 og SHA1, vil der gå kortere tid, før alle certifikater lavet med det “gamle” udfasede/ændrede udløber og derved bliver skiftet til nyere sikrere indstillinger.

Det menes at ved at gøre det mere besværligt at vedligeholde certifikater manuelt, grundet den kortere tid, tvinger man flere til at bruge automatiserede installationsmetoder. Det vil så kræve opdateringer i meget software inden det kan ske. Det virker da også til at Google Chrome gerne vil ned på nogle få måneder og ikke er færdig med at presse for at reducere tiden.

Det hjælper dog ikke virksomheder der ikke har fuldautomatiseret deres serverdrift og vedligehold, som det måske kunne tænkes at Google selv har. Microsoft fik besked på at udskifte 6+ millioner certifikater i Juli 2020 og deres svar var at det ville tage 7 måneder, så de har nok heller ikke den slags automatisering som Google drømmer om.

Nedbringelse af levetiden hjælper heller ikke på fejl der betragtes som brud af regler, hvor Chrome og andre browsere vil kræve at alle certifikater uanset antal (fx 6+ millioner certifikater hos Microsoft) skal kunne lukkes inden for 7 dage, fra fejlen er opdaget.

Der er en argumentation for at et kompromiteret certifikat vil kunne bruges i kortere tid, da det lever i 1 år frem for 2 år. Det virker dog som et dårligt argument, da et misbrug for de fleste virksomheder, vil være katastrofisk allerede ved et misbrug på under 24 timer, men selvfølgelig vil det “kun” kunne misbruges i et års tid. De fleste sager hvor certifikater har været misbrugt, viser dog at de typisk er brugt i under 2 uger. Argumentet giver først mening, når man kommer ned under en måned i levetid.

Derudover genbruges nøgler til certifikater ofte, hvilket giver samme resultat som hvis certifikatet var gyldigt i flere år. Der er ingen begrænsninger for genbrug af nøglen. Der er tilmed ikke nogen effektiv samlet begrænsning af genbrug af kendte brudte nøgler.