SSL/TLS-certifikater begrænses til 825 dage

Dette gælder alle SSL-certifikater udstedt af en offentlig godkendt CA.
Længden gør det muligt at forlænge et certifikat med 2 år og få op til 3 ekstra måneder på det nye certifikat.

Ændringen er vedtaget af CA/Browser Forum og træder i kraft 1. marts 2018, men påvirker allerede nu praksis hos flere CA’er.

Hvad ændres?

• Genbrug af validering (f.eks. ved genudstedelse) bliver begrænset.
• 3-årige certifikater kan kræve ny validering i det sidste år.
• Flere CA’er stopper allerede i april 2017 med at udstede 3-årige certifikater.
• Fra marts 2018 vil 3-årige certifikater ikke længere være mulige.

Historisk udvikling af certifikatlevetid

• Tidligere: Ubegrænset → 60 måneder → 39 måneder
• Nu: Maks. 825 dage (ca. 27 måneder)

Hvorfor forkortes levetiden?

Formålet er at øge sikkerheden ved at sikre hurtigere udskiftning af certifikater, især:

• Certifikater med svage eller forældede teknologier (f.eks. SHA-1)
• Certifikater udstedt med forældede valideringsmetoder
• Certifikater med forkerte eller vildledende oplysninger
• Certifikater udstedt med ondsindet hensigt

Forslag om 13 måneder blev afvist

Et forslag om at reducere gyldigheden til 13 måneder blev fremsat 3 uger før afstemningen, men blev nedstemt pga. den administrative byrde.

825 dage er et kompromis

Den nye grænse er et kompromis mellem:

• Øget sikkerhed gennem hyppigere udskiftning
• Begrænsning af administrative omkostninger

Hvad betyder det for dig?

• Eksisterende certifikater påvirkes ikke
• Daglig drift ændres ikke væsentligt
• Du skal dog forvente at installere nye certifikater oftere
• For organisationer med mange systemer kan det betyde flere arbejdstimer årligt

Om CA/Browser Forum

CA/Browser Forum er en sammenslutning af de største offentlige certifikatudstedere og browserproducenter, der sammen fastsætter fælles regler for SSL/TLS.