SSL/TLS-certifikat är begränsade till 825 dagar

Detta gäller alla SSL-certifikat som utfärdats av en offentligt godkänd certifikatutfärdare.
Längden gör det möjligt att förlänga ett certifikat med 2 år och få upp till 3 extra månader på det nya certifikatet.

Ändringsförslaget antogs av CA/Webbläsarforum och träder i kraft 1 mars 2018, men påverkar redan praktiken hos flera behöriga myndigheter.

Vad förändras?

• Återanvända validering (t.ex. vid återutgivning) blir begränsad.
• 3-åriga certifikat kan kräva ny validering under det sista året.
• Flera behöriga myndigheter kommer att sluta utfärda treåriga certifikat redan i april 2017.
• Från och med mars 2018, 3-åriga certifikat är inte längre möjliga.

Historisk utveckling av certifikatets livslängd

• Tidigare: Obegränsad → 60 månader → 39 månader
• Nu: Max. 825 dagar (ca 27 månader)

Varför förkortas livslängden?

Syftet är att öka säkerheten genom att säkerställa snabbare utbyte av certifikat, särskilt

• Certifikat med svag eller föråldrad teknik (t.ex. SHA-1)
• Certifikat utfärdade med föråldrade valideringsmetoder
• Certifikat med felaktig eller vilseledande information
• Certifikat utfärdade med skadlig avsikt

Förslag på 13 månader avvisades

Ett förslag om att minska giltigheten till 13 månader lades fram tre veckor före omröstningen, men röstades ned på grund av den administrativa bördan.

825 dagar är en kompromiss

Den nya gränsen är en kompromiss mellan:

• Ökad säkerhet genom mer frekvent utbyte
• Begränsning av administrativa kostnader

Vad betyder det för dig?

• Befintliga certifikat påverkas inte
• Daglig drift förändras inte väsentligt
• Du bör dock förvänta dig att installera nya certifikat oftare
• För organisationer med många system kan detta innebära fler arbetstimmar per år

Om CA/Browser Forum

CA/Browser Forum är en sammanslutning av de största offentliga certifikatutfärdarna och webbläsartillverkarna som tillsammans sätter gemensamma regler för SSL/TLS.

‍