Wijzigingen door nieuwe CAB richtlijnen

1 juli 2012

Per 1 juli 2012 zijn de nieuwe richtlijnen van het CAB forum actief, wat wijzingen in de uitgifteprocedures van SSL certificaten tot gevolg heeft. Bij alle certificaten met bedrijfsgegevens wordt nu een telefonische validatie uitgevoerd. Daarnaast zullen de zogenaamde interne domeinen zoals .local verdwijnen en zijn die na 1 november 2015 niet meer toegestaan. De nieuwe richtlijnen zijn van toepassing op alle leveranciers.

Interne domeinnamen
Vanaf 1 juli 2012 mogen er geen SSL certificaten meer uitgegeven worden met interne domeinen die een einddatum hebben later dan 1 november 2015. De browser fabrikanten zoals Microsoft en Mozilla vinden het gebruik van interne domeinen in SSL certificaten onveilig. Met name op Exchange servers heeft het afschaffen van interne domeinen grote consequenties omdat de domeinennamen zeer lastig zijn aan te passen. Vandaar dat het tot 1 november 2015 nog wel mogelijk zal zijn om Multi domein certificaten met (ook) interne domeinen aan te vragen, maar altijd met een einddatum die voor 1 november 2015 ligt.

We adviseren iedereen met Exchange servers om geen interne domeinnamen meer te gebruiken en bij het upgraden van een Exchange server direct de interne domeinennamen te vervangen voor reguliere domeinnamen. Certificaten die voor 1 juli 2012 zijn uitgegeven en op 1 oktober 2016 nog geldig zijn zullen door de certificate authorities worden ingetrokken.

Waarom mogen interne domeinnamen niet meer gebruikt worden in SSL certificaten?
De reden die wordt gegeven voor de wijziging is dat interne server namen niet uniek zijn en daarom eenvoudig vervalst kunnen worden. Hierdoor ontstaat de mogelijkheid van een 'man-in-the-middle' aanval. Met veel voorkomende namen als server001 of webmail weet de gebruiker nooit zeker of het daadwerkelijk met de juiste partij te maken heeft of met een kwaadwillende.

Telefonische validatie
De richtlijnen voor certificaten met bedrijfsgegevens zijn gewijzigd. Per 1 juli 2012 wordt er voor alle certificaten met bedrijfsgegevens een telefonische validatie uitgevoerd. Deze telefonische validatie bestond reeds voor de zogenaamde EV certificaten met groene adresbalk, maar zal nu bij alle certificaten met bedrijfsgegevens moeten worden uitgevoerd. De telefonische validatie wordt ingezet om zeker te zijn dat het certificaat aan de juiste organisatie wordt uitgegeven en er dus geen misbruik gemaakt kan worden van een verkeerd uitgegeven SSL certificaat.

Wat als ik geen telefonische validatie wil?
Het is na 1 juli niet meer mogelijk om certificaten te verkrijgen met bedrijfsgegevens en zonder telefonische validatie. De regels zijn industriebreed afgesproken en zullen door alle leveranciers van SSL certificaten gehandhaafd worden. De richtlijnen zijn opgesteld door het CA/Browser forum (http://www.cabforum.org/forum.html), waar alle grote CA's aan deelnemen. U kunt wel kiezen voor een certificaat zonder bedrijfsgegevens, waarbij alleen de Domein Validatie gedaan wordt. Hierbij wordt geen telefonische validatie uitgevoerd.

Hoe werkt de telefonisch validatie?
Bij de telefonische validatie wordt er door de CA of door Xolphin namens de CA, telefonisch contact opgenomen met de klant. De klant wordt gebeld op een algemeen nummer van het bedrijf (zoals het telefoonnummer wat vermeld staat bij de Kamer van Koophandel) en op dat nummer wordt de klant gevraagd of hij akkoord gaat met de aanvraag.

De telefonische validatie voor de certificaten met Organisatie Validatie is overigens minder strikt dan de validatie voor de certificaten met uitgebreide validatie. Zo is het bij bijvoorbeeld de Comodo InstantSSL en Comodo MobileSSL certificaten niet noodzakelijk om bij elke verlenging, heruitgifte of andere aanvragen voor hetzelfde bedrijf opnieuw te bellen. Zo lang de aanvragen onder hetzelfde account besteld zijn hoeft het bedrijf waarvoor de aanvragen gedaan zijn slechts een enkele keer gebeld te worden.

Welke stappen worden nu precies uitgevoerd bij de validatie van een certificaat?
Bij de validatie worden een aantal controles gedaan. Als eerste stap wordt er gekeken of alle gegevens goed zijn en als alle gegevens correct zijn wordt de telefonische validatie uitgevoerd. De domeinvalidatie is de allerlaatste stap, deze wordt uitgevoerd als de telefonische validatie succesvol is afgerond.

Op https://www.sslcertificaten.nl/support/FAQ/Validatie staat een overzicht vinden van de validatiestappen die worden uitgevoerd per validatieniveau.

Heeft de telefonische validatie invloed op de levertijd?
Tijdens kantoortijden wordt de telefonische validatie zo snel mogelijk uitgevoerd, maar helaas zijn de levertijden wel afhankelijk van de telefonische bereikbaarheid van het bedrijf. Buiten kantoortijden wordt de telefonische validatie alleen op verzoek uitgevoerd in zeer dringende situaties.

We raden u zoals altijd aan niet te lang te wachten met het verlengen van certificaten. Indien u certificaten enkele weken van te voren verlengt dan worden de dagen die u nog beschikbaar heeft op het oude certificaat overgenomen op het nieuwe certificaat.