Alla servercertifikat begränsas till mindre än 398 dagars livstid före 1. Sept.

Den korta versionen

Från och med 1. Från och med september 2020 kan endast SSL/TLS-servercertifikat som är mindre än 398 dagar skapas, dvs. ungefär 1 år och 1 månad. Befintliga certifikat upprättas till och med 31. Augusti 2020, kan tekniskt vara upp till 825 dagar, dvs cirka 2 år och 3 månader.Så länge certifikatet görs senast augusti 2020 kan det göras i upp till 825 dagar. Om du vill förlänga certifikat idag som kan ha mer än 90 dagar kvar kan detta också göras med de flesta emittenter. Kontakta oss.Om ett certifikat behöver utfärdas igen efter 31. Augusti 2020, där det finns mer än 397 dagar kvar, kommer det vid återutgivningen att reduceras till 397 dagar. Det kommer vanligtvis att vara möjligt att återutfärda certifikatet gratis i flera omgångar och på detta sätt få den heltid man hade köpt. Det påverkar inte ”interna” certifikat utfärdade från intern CA, som läggs till i datorn av användaren eller administratören i godkända emittenter.

Vår rekommendation

Om ett certifikat kan förnyas före september 2020 och det är liten sannolikhet att certifikatets SAN-namn behöver ändras senare eller certifikatet behöver utfärdas på nytt rekommenderar vi att du förnyar det med 2 år, senast i augusti 2020.Dessutom kommer certifikaten bara att vara ett år i taget. Vi vill hjälpa till att granska alternativ för företag som vill automatisera certifikat via ACME-protokollet, via API, via Azure Key Vault, eller har andra behov av Automatisering.Det finns också möjlighet att få ”automatisk förnyelse” eller köpa certifikat i flera år av en gång , men de ändrar inte det faktum att certifikatet fortfarande måste installeras varje gång. Om det finns en önskan att använda dessa tjänster kontaktar vi dig gärna.

När vissa certifikat är begränsade

CoDesign och e-postcertifikat påverkas inte och kan fortsätta att köpas i upp till 3 år.Certifikat utfärdade från din egen privata CA, t.ex. internt i företaget, påverkas inte.Certifikat från följande märken reduceras till 397 dagar efter Han är 18. August 2020

• Sectigo
• Comodo (nu Sectigo)

Certifikat från följande märken reduceras till 397 dagar efter Jag är 27. August 2020

• DigiCert
• Thawte
• GeoTrust
• RapidSSL

Certifikat från följande märken reduceras till 397 dagar efter Han är 30. August 2020

• Globaltecken
• AlphaSL

Vem behöver en kortare livslängd

Apple, Google Chrome och Mozilla är förenade i förändringen. Det är webbläsarna med Google Chrome i spetsen som tillsammans kraftigt tvingar ner denna förändring på CA och certifikatanvändare. Och den här gången, för första gången, har ändringen inte godkänts i CAB-forumet via omröstning. I kontrast, webbläsarna har just rapporterat att de implementerar kod som avvisar certifikat utfärdade från 1. September med en total livslängd över 398 dagar. Och de certifikatutfärdare som inte håller med kan tas bort från webbläsarens erkända CA-rotcertifikat.

Vad ska bli säkrare

Där det definitivt kommer att hjälpa är när säkerhetshål upptäcks eller vissa säkerhetsändringar för certifikat, t.ex. utfasning av MD5 och SHA1, kommer det att ta kortare tid för alla certifikat som gjorts med den ”gamla” fasade/modifierade att löpa ut och därmed bytas till nyare säkrare inställningar.Man tror att genom att göra det mer besvärligt att underhålla certifikat manuellt, på grund av kortare tid, tvingar fler människor att använda automatiserade installationsmetoder. Det kommer då att kräva uppdateringar i mycket programvara innan det kan hända. Det verkar också som om Google Chrome vill vara nere om några månader och inte har slutat trycka på för att minska tiden. Detta hjälper dock inte företag som inte helt har automatiserat sin serverdrift och underhåll, eftersom det kan vara tänkbart att Google själv har. Microsoft fick höra att ersätta 6+ miljoner certifikat i juli 2020 och deras svar var att det skulle ta 7 månader, så de har förmodligen inte den typ av automatisering som Google drömmer om heller. Att minska livslängden hjälper inte heller med buggar som anses vara regelbrott, där Chrome och andra webbläsare kräver att alla certifikat oavsett antal (t.ex. 6+ miljoner certifikat hos Microsoft) ska kunna stängas inom 7 dagar efter att felet har upptäckt.Det finns ett argument för att ett komprometterat certifikat kommer att kunna användas under en kortare tid, eftersom det lever i 1 år snarare än 2 år. Detta verkar dock som ett dåligt argument, eftersom ett missbruk för de flesta företag kommer att vara katastrofalt redan med ett missbruk på mindre än 24 timmar, men naturligtvis kommer det ”bara” att kunna missbrukas om ett år. De flesta fall där certifikat har missbrukats visar dock att de vanligtvis används i mindre än 2 veckor. Argumentet är bara meningsfullt när du kommer ner till mindre än en månad i livstiden.Dessutom återanvänds nycklar för certifikat ofta, vilket ger samma resultat som om certifikatet var giltigt i flera år. Det finns inga begränsningar för återanvändning av nyckeln. Dessutom finns det ingen effektiv övergripande begränsning för återanvändning av kända trasiga nycklar.