Als u het beheer van de levenscyclus van SSL-certificaten (CLM) nog niet hebt geautomatiseerd, dan dringt de tijd
Het verkorten van de levensduur van SSL/TLS-certificaten staat al tien jaar op de agenda, dus het is geen verrassing dat Google van plan is om de geldigheidsduur van SSL/TLS-certificaten te verkorten tot 90 dagen. U vraagt zich wellicht af welke gevolgen deze verandering zal hebben voor uw organisatie, de sector in het algemeen en, laten we eerlijk zijn, wat u eraan kunt doen. Geen zorgen, wij leggen u graag uit wat dit allemaal betekent en hoe de automatisering van SSL/TLS-certificaatbeheer is uitgegroeid van een wens tot een noodzaak.
- Hoe geeft ACME vorm aan de toekomst van de geldigheid van SSL/TLS-certificaten?
- Waarom is een kortere geldigheidsduur van certificaten een goed idee?
- Automatisering is niet langer een wens, maar een noodzaak geworden
Hoe geeft ACME vorm aan de toekomst van de geldigheid van SSL/TLS-certificaten?
ACME, of Automatic Certificate Management Environment, is een protocol dat enkele jaren geleden is ontworpen om het beheer van de levenscyclus van certificaten te automatiseren. Het is oorspronkelijk ontwikkeld door de Internet Security Research Group (ISRG).
Op dat moment was dit een noodzakelijke innovatie, omdat één aanbieder van SSL/TLS-certificaten slechts 90 dagen (ongeveer 3 maanden) geldig was en minstens vier keer per jaar vervangen moest worden. Dat was anders dan andere commerciële CA's die certificaten uitgaven in overeenstemming met het CA/Browser Forum.
Wat is de huidige maximale geldigheidsduur van een SSL/TLS-certificaat?
De huidige maximale geldigheidsduur van een SSL/TLS-certificaat is 397 dagen, of ongeveer 13 maanden, zoals vastgelegd in de basisvereisten van het CA/B Forum.
Dat gaat allemaal veranderen. Na besprekingen met het CA/B Forum begin maart 2023 kondigde Google aan dat het van plan is om de maximale geldigheidsduur van alle openbaar vertrouwde SSL/TLS-certificaten te verkorten tot slechts 90 dagen.
Wanneer voert Google de geldigheidsduur van 90 dagen voor certificaten in?
Hoewel er nog geen effectieve datum of deadline voor deze wijziging is vastgelegd, heeft Google een enquête verspreid onder de certificeringsinstanties bij het CA/B Forum en vraagt het om feedback op de aangekondigde plannen. Daarna zal het bedrijf waarschijnlijk de data bekendmaken waarop alle voorgestelde wijzigingen van kracht worden. Wij houden u op de hoogte van de ontwikkelingen.
Waarom is een kortere geldigheidsduur van certificaten een goed idee?
Tien jaar geleden kon u nog een SSL-certificaat voor vijf jaar kopen, maar de geldigheidsduur is geleidelijk teruggebracht van drie naar twee jaar, en vervolgens naar de huidige maximale geldigheidsduur. Het idee hierachter is goed, ook al is het op grote schaal een beetje lastig; hoe langer een certificaat geldig is, hoe minder betrouwbaar het wordt.
Bekijk het zo: een SSL/TLS-certificaat is wat browsers gebruiken om de identiteit van een webserver te verifiëren. Hoe langer de periode tussen de verificatie van die informatie, hoe minder betrouwbaar die validatie wordt. Bedenk eens hoeveel er in een jaar kan veranderen: bedrijven gaan failliet, er vinden transacties en fusies plaats, domeinen worden verkocht, bedrijven evolueren. Om ervoor te zorgen dat informatie zo betrouwbaar mogelijk blijft, moet die regelmatig worden geverifieerd.
Het is maar de vraag hoe regelmatig precies. De vorige vertegenwoordiger van Google op het CA/B Forum was van oordeel dat informatie over domeinvalidatie slechts zes weken betrouwbaar moet blijven.
Kunnen we verwachten dat certificaten in de nabije toekomst bijvoorbeeld maar 30 dagen geldig blijven?
Het is nog te vroeg om daar nu al iets over te zeggen, maar als we kijken naar hoe het in het verleden is gegaan met de geldigheidsduur van SSL/TLS-certificaten, sluiten we dit niet uit.
Maar nu is het tijd voor een diepgaande discussie over het beheer van de levenscyclus van certificaten in uw organisatie en waarom ACME een goede oplossing is.
Automatisering is een noodzaak geworden in plaats van een wens
En dat was nog maar één keer per jaar. Vermenigvuldig dat nu met vier. Auw. Als uw IT-team op de tweede verdieping of hoger in uw gebouw zit, moet u misschien hun ramen dichtspijkeren.
Maar er is een eenvoudigere manier om te voorkomen dat ze weglopen: ACME.
ACME is een protocol dat de communicatie tussen een CA en een agent op een webserver mogelijk maakt. De agent regelt de certificaataanvraag, domeinvalidatie, installatie en verlenging voor de websites op de server. Zoals eerder vermeld, is ACME speciaal ontworpen met deze tijdschema’s in gedachten, en sinds de oorspronkelijke specificatie is het verder verfijnd om meer te bieden dan alleen open-source Domain-Validated (DV)-certificaten.
Geen handmatige domeinvalidaties meer. De agent doet dat voor u. Geen installaties en configuraties meer. De agent doet dat ook. En wanneer een certificaat bijna verloopt en vervangen moet worden, dan weet u het al: de agent regelt alles.
Hoe kan de ACME-service van GlobalSign helpen bij het automatiseren van mijn SSL/TLS-certificaten?
De ACME-service van GlobalSign is een agent-onafhankelijke, laagdrempelige automatiseringsoplossing die uw IT-team van vervelend werk ontlast en uw organisatie geld bespaart. De ACME-service van GlobalSign kan zowel Domain-Validated (DV) als Organization-Validated (OV) SSL/TLS-certificaten uitgeven. Bovendien wordt het ondersteund door alle ervaring, ondersteuning en Service Level Agreements (SLA's) die GlobalSign tot een van de meest gerespecteerde certificeringsinstanties en gekwalificeerde vertrouwensdienstverleners ter wereld maken. Klanten kunnen certificaatpakketten kopen en alles regelen via het Atlas-portaal, waardoor alle SSL/TLS-certificaten op uw netwerk helemaal automatisch worden beheerd.
Meer info over ACME-certificaatautomatisering
Opmerking van de redactie: deze blog werd oorspronkelijk gepubliceerd in maart 2023 en werd bijgewerkt in mei 2023.
