SSL-TLS certificaat over het hoofd gezien?

https-ssl-tlsSinds begin deze maand is de looptijd van bijna alle SSL-TLS certificaten beperkt tot 397 dagen. Dat is het rechtstreekse gevolg van de weigering van de browsermakers Apple, Google en Mozilla certificaten met een lange levensduur te accepteren. Het onderwerp heeft voor weinig reuring gezorgd. Toch kan het geen kwaad stil te staan bij het besluit en de consequenties.

Kortere levensduur is veiliger

De browserfabrikanten vertrouwen de CA’s en daardoor is veilig browsen mogelijk. Een valide SSL-TLS certificaat is immers voorwaarde om “het groene slotje” zichtbaar te maken dat voor velen geldt als het bewijs van veiligheid. Dat is uiteraard niet geheel waar, want bij veilig surfen komt nog wel wat meer kijken. Technisch is het geen enkel probleem een SSL-TLS certificaat een looptijd van meer dan 397 dagen te geven. Bedrijven die deze certificaten uitgeven, de Certificate Authorities of CA’s, hebben dat ook jaren gedaan. Tot 2015 was het mogelijk certificaten te bestellen die vijf jaar golden. Dat is in twee stappen (2018 en 2019) verder teruggebracht naar twee jaar. Zelfs dat wordt nu dus als ongewenst te zien. Het standaard certificaat is nu 397 dagen, of 13 maanden. Belangrijkste reden om te pleiten voor certificaten met een kortere levensduur is dat het de kans op misbruik verkleint. Elk jaar moet het certificaat immers worden verlengd en dan kan misbruik opvallen.

Eenzijdige kijk op security

Voor veel exploitanten en gebruikers klinkt bovenstaande argument logisch. Het is echter onjuist te veronderstellen dat korte loopduur certificaten vanzelf bijdragen aan meer security. Dat is echt een te beperkte en eenzijdige kijk op de problematiek.  Uit onderzoek van de RWTH Aachen University is bijvoorbeeld gebleken dat een betere ID controle van de certificaat aanvragers misbruik van SSL helpt te voorkomen. Dat in 2018 bijna de helft (48%) van de phishingsites al van een “groen slotje” was voorzien bewijst dat alleen een kortere levensduur geen garantie is voor een veiliger internet.

Publicly trusted

De genoemde verandering voor SSL-TLS certificaten geldt alleen als die “publicly trusted” moeten zijn. Het staat dus nog steeds de gebruiker vrij voor bijvoorbeeld een puur interne toepassing een self signed certificate met een looptijd van meerdere jaren te maken en gebruiken. Aan Let’s Encrypt certificaten verandert ook niets. Die hebben namelijk een levensduur van “slechts” 90 dagen. Omdat certificaten voor veel meer nodig zijn dan websites is kan het heel goed zijn dat bepaalde toepassingen binnenkort vreemde certificaat fouten geven. Het zou niet mogen gebeuren, omdat iedereen maanden de tijd heeft gehad zich hier op voor te bereiden. De CA’s hebben er ook veel over gecommuniceerd. Maar omdat sinds dit voorjaar andere zaken alle energie en aandacht hebben gevergd kan er links en rechts een proces over het hoofd zijn gezien dat gebaseerd is op een SSL-TLS certificaat van meer dan 397 dagen.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein