Apple neemt voortouw in beperking looptijd SSL

25 februari 2020

Apple gaat de toegestane looptijd van SSL certificaten beperken naar maximaal 13 maanden. Vanaf 1 september 2020 worden certificaten met een looptijd langer dan 13 maanden niet meer ondersteund in de Safari browser. De kans is groot dat andere browsers deze maatregel ook gaan toepassen, ondanks dat een voorstel voor een industriebrede wijziging hiervoor vorig jaar nog is afgewezen.

Wat is de impact?

Per 1 september 2020 worden SSL certificaten met een geldigheidsduur langer dan 398 dagen niet meer vertrouwd in Safari, als ze zijn uitgegeven op of na 1 september 2020. Certificaten met een langere looptijd die vóór deze datum zijn uitgegeven, blijven gewoon ondersteund tijdens hun looptijd. Deze wijziging geldt alleen voor SSL certificaten in Safari, dus niet voor client of code signing certificaten. Safari is de eerste browser die deze wijziging doorvoert, en is met 18,2% de meest gebruikte browser na Chrome. De kans is groot dat andere browsers dit initiatief volgen.

Wat is de aanleiding?

Een decennium geleden waren er nog certificaten met een geldigheidsduur tot 10 jaar in omloop. De afgelopen jaren is deze looptijd meerdere malen verkort naar het huidige maximum van 27 maanden. In 2019 werd door Google een nieuw voorstel ingediend voor een verdere beperking naar 1 jaar. In september 2019 heeft een meerderheid van de leden van het CA/Browserforum hiertegen gestemd, waarmee de wijziging voorlopig van de baan leek. Maar omdat er ook veel voorstanders zijn, bestaat de kans dat de looptijd op termijn industriebreed alsnog beperkt wordt. Naast Apple heeft Logius, als beheerder van de PKIoverheid certificaten, de beperking naar 1 jaar per 1 november 2019 ook al doorgevoerd.

Het CA/Browser forum (Certification Authority Browser Forum) bestaat uit de meeste CA’s en browsers, en stelt standaarden en richtlijnen op die de veiligheid van SSL certificaten bewaken. Bedreigingen voor de veiligheid, zoals in het verleden het gebruik van interne domeinen en verouderde encryptiemethoden, worden aan banden gelegd. Het Forum stelt dat bij certificaten met een lange looptijd de kans op misbruik en verouderde technieken groter is. Om deze reden werd in februari 2015 de looptijd al beperkt tot maximaal 39 maanden, en per begin 2018 naar 27 maanden. Overigens werd bij de laatste wijziging initieel ook 13 maanden voorgesteld, waarna als compromis voor twee jaar is gekozen.

Wat zeggen de tegenstanders?

Op 9 september 2019 heeft het CA/Browserforum tegen ballot SC22 gestemd, het voorstel voor een verdere beperking van de looptijd van SSL certificaten naar 13 maanden. Van de 32 stemgerechtigde partijen onder de CA's stemden 11 partijen voor en 19 tegen, met als voornaamste tegenargument de grotere administratieve last voor organisaties die SSL certificaten gebruiken. Voor organisaties die veel SSL certificaten gebruiken en het beheer niet hebben geautomatiseerd, betekent een halvering aan looptijd een verdubbeling van de benodigde beheertijd. Uit onderzoek van diverse CA's blijkt dat zeker driekwart van de grote enterprises hun certificaten-management nog niet geautomatiseerd heeft, en bij kleinere organisaties is dat aandeel nog groter.

Wat zeggen de voorstanders?

Logius, de beheerorganisatie van PKIoverheid, heeft voor gestemd en heeft bovendien de wijziging ongeacht de uitkomst van de stemming doorgevoerd per 1 november 2019, omdat zij meer zekerheid ziet in het vaker controleren van de in certificaten opgenomen gegevens. Ook Sectigo heeft voor gestemd, met als argument het toenemend gebruik van geautomatiseerd certificaatbeheer, wat een grotere administratieve belasting oplost. Alle browsers in het CA/Browserforum hebben ook voor het voorstel gestemd.

point up