Het CA/Browser Forum heeft officieel gestemd om de TLS Baseline Requirements te wijzigen om een schema vast te stellen voor het verkorten van zowel de levensduur van TLS-certificaten als de herbruikbaarheid van CA-gevalideerde informatie in certificaten. De eerste gebruikersimpact van de stemronde vindt plaats in maart 2026.

Er is lang gediscussieerd over de stemronde in het CA/Browser Forum en er zijn verschillende versies van gemaakt, waarin de feedback van certificaatautoriteiten en hun klanten is verwerkt. De stemperiode eindigde op 11 april 2025, waardoor één fel betwist hoofdstuk werd gesloten en de certificaatwereld kon plannen voor wat er daarna komt.

Het nieuwe levenslange schema van het TLS-certificaat

De nieuwe stemronde streeft naar een certificaatgeldigheid van 47 dagen, waardoor automatisering essentieel is. Voorafgaand aan dit voorstel van Apple promootte Google een maximale levensduur van 90 dagen, maar zij stemden bijna onmiddellijk na het begin van de stemperiode voor het voorstel van Apple.

Hier is het schema:

• De maximale levensduur van het certificaat gaat omlaag:

  • Vanaf vandaag tot 15 maart 2026 is de maximale levensduur voor een TLS-certificaat 398 dagen.
  • Vanaf 15 maart 2026 is de maximale levensduur voor een TLS-certificaat 200 dagen.
  • Vanaf 15 maart 2027 is de maximale levensduur voor een TLS-certificaat 100 dagen.
  • Vanaf 15 maart 2029 is de maximale levensduur voor een TLS-certificaat 47 dagen.

   

• De maximale periode gedurende welke validatiegegevens van domein en IP-adres mogen worden hergebruikt, is verstreken:

  • Vanaf vandaag tot 15 maart 2026 is de maximale periode waarin domeinvalidatie-informatie opnieuw mag worden gebruikt 398 dagen.
  • Per 15 maart 2026 is de maximale periode waarin domeinvalidatie-informatie mag worden hergebruikt 200 dagen.
  • Per 15 maart 2027 is de maximale periode waarin domeinvalidatie-informatie mag worden hergebruikt 100 dagen.
  • Vanaf 15 maart 2029 is de maximale periode waarin domeinvalidatie-informatie opnieuw mag worden gebruikt 10 dagen.

• Vanaf 15 maart 2026 kunnen validaties van proefpersoonidentiteitsinformatie (Subject Identity Information, SII) slechts 398 dagen worden hergebruikt, vanaf 825. SII is de bedrijfsnaam en andere informatie die wordt gevonden in een OV-certificaat (gevalideerd door organisatie) of EV-certificaat (uitgebreide validatie), d.w.z. alles behalve de domeinnaam of het IP-adres dat door het certificaat wordt beschermd. Dit heeft geen invloed op DV (Domain Validated) certificaten, die geen SII hebben.

   

Waarom 47 dagen?

47 dagen lijkt misschien een willekeurig getal, maar het is een eenvoudige cascade:

• 200 dagen = 6 maanden maximaal (184 dagen) + 1/2 maand van 30 dagen (15 dagen) + 1 dag marge
• 100 dagen = 3 maanden maximaal (92 dagen) + ~1/4 30-daagse maand (7 dagen) + 1 dag marge
• 47 dagen = 1 maand maximaal (31 dagen) + 1/2 30-daagse maand (15 dagen) + 1 dag marge

De rechtvaardiging van Apple voor de wijziging

In de stemming voert Apple veel argumenten aan ten gunste van de stappen, waarvan er één het vermelden waard is. Er wordt gesteld dat het CA/B Forum de wereld al jaren vertelt, door de maximale levensduur gestaag te verkorten, dat automatisering in wezen verplicht is voor effectief beheer van de levenscyclus van certificaten.

In de stemming wordt aangevoerd dat kortere levensduren om vele redenen noodzakelijk zijn, waarvan de meest prominente de volgende is: De informatie in certificaten wordt gestaag minder betrouwbaar na verloop van tijd, een probleem dat alleen kan worden beperkt door de informatie regelmatig opnieuw te valideren.

In de stemming wordt ook aangevoerd dat het herroeppingssysteem dat gebruikmaakt van CRL's en OCSP onbetrouwbaar is. Sterker nog, browsers negeren deze functies vaak. De stemming heeft een lange paragraaf over de tekortkomingen van het certificaatherroepingssysteem. Kortere levensduur vermindert de effecten van het gebruik van mogelijk herroepen certificaten. In 2023 tilde het CA/B Forum deze filosofie naar een ander niveau door kortstondige certificaten goed te keuren, die binnen 7 dagen verlopen en waarvoor geen CRL- of OCSP-ondersteuning nodig is.

Verwarring over de nieuwe regels wegnemen

Twee punten over de nieuwe regels zullen waarschijnlijk verwarring veroorzaken:

1. De drie jaar voor de regelwijzigingen zijn 2026, 2027 en 2029, maar de kloof tussen de tweede reeks jaren is twee jaar lang.
2. Vanaf 15 maart 2029 is de maximale levensduur van een TLS-certificaat 47 dagen, maar de maximale periode waarin domeinvalidatie-informatie opnieuw mag worden gebruikt is slechts 10 dagen. Handmatige hervalidatie is technisch nog steeds mogelijk, maar dit zou een recept zijn voor storingen en uitval.

Als certificaatautoriteit is een van de meest voorkomende vragen die we van klanten horen of ze vaker worden belast om certificaten te vervangen. Het antwoord is nee. De kosten zijn gebaseerd op een jaarabonnement en wat we hebben geleerd is dat zodra gebruikers automatisering toepassen, ze vaak vrijwillig overstappen op snellere vervangingscycli voor certificaten.

Daarom, en omdat zelfs de wijzigingen van 2027 in certificaten van 100 dagen handmatige procedures onhoudbaar zullen maken, verwachten we een snelle invoering van automatisering lang voor de wijzigingen van 2029.

De verklaring van Apple over geautomatiseerd levenscyclusbeheer van certificaten is onbetwistbaar, maar het is iets waar we ons al lang op voorbereiden. DigiCert biedt meerdere automatiseringsoplossingen  viaTrust Lifecycle Manager  enCertCentral, inclusief ondersteuning voor ACME. De ACME van DigiCert maakt automatisering van DV-, OV- en EV-certificaten mogelijk en omvat ondersteuning voor ACME Renewal Information (ARI).

Neem contact op voor meer informatie over hoe u optimaal gebruik kunt maken van automatisering.

De nieuwste ontwikkelingen op het gebied van digitaal vertrouwen

Wilt u meer weten over onderwerpen zoals certificaatbeheer, automatisering en TLS/SSL? Abonneer u dan op het DigiCert-blog zodat u niets hoeft te missen.