Google is van plan de levensduur van SSL-certificaten terug te brengen tot één jaar
Google is van plan enkele wijzigingen aan te brengen in de levensduur van SSL-certificaten. De certificaten zouden in dat geval slechts één jaar geldig zijn in plaats van twee jaar.
Google-medewerker Ryan Sleevi presenteerde het idee tijdens een F2F-bijeenkomst van het CA / B-forum in juni van dit jaar. Voor degenen die het niet weten, CA / B Forum is in feite een platform dat bestaat uit browserleveranciers, besturingssysteem en certificaatautoriteiten. Dit is een niet-officiële groep die verantwoordelijk is voor het opstellen van brancherichtlijnen voor digitale certificaten.
Brower-verkopers stemden in voor de beslissing
Volgens het voorstel zouden alle nieuwe SSL-certificaten ongeveer een jaar en een maand (397 dagen) geldig zijn. Met name alle uittredende certificaten hebben een levensduur van meer dan twee jaar (825 dagen). Het voorstel werd gesteund door een meerderheid van browsermakers.
De certificaatautoriteiten zijn echter tegen de beslissing. Het is niet de eerste keer dat een dergelijk idee ter discussie staat. De SSL-certificaten waren oorspronkelijk ongeveer acht jaar geldig. De toenemende veiligheidsbedreigingen dwongen de autoriteiten om het terug te brengen tot drie en vervolgens twee jaar na groot verzet.
Het CA / B-forum verwierp een soortgelijk voorstel dat in 2017 werd gepresenteerd. Het idee was om de levensduur terug te brengen tot een jaar. De certificaatautoriteiten zijn van mening dat het oneerlijk is om de levensduur van SSL-certificaten nogmaals te wijzigen.
De verkorte levensduur biedt beveiligingsvoordelen
Hoewel de CA's tegen het idee zijn, brengt het tal van beveiligingsvoordelen met zich mee. Onnodig te zeggen dat complianceregels elke maand veranderen. De wijziging zou het voor bedrijven gemakkelijker maken om over te stappen op de nieuwe regels.
Er zijn veel bedrijven die hun systemen beveiligen met behulp van digitale certificaten. We kunnen niet ontkennen dat de wijziging ook voor duizenden van dergelijke bedrijven extra kosten met zich meebrengt. Het belangrijkste is dat er geen grote beveiligingsverbeteringen in de pijplijn zitten als gevolg van de verkorte levensduur.
Ze hebben nog steeds te maken met alle kwaadwillende actoren die regelmatig phishingaanvallen plannen. Het wordt voor hen steeds moeilijker om hun klanten te beschermen zonder zichtbare voordelen. Deze oorlog tussen browserleveranciers en certificaatautoriteiten is niet iets nieuws. Het is slechts een kwestie van tijd om te zien of Google hierin succesvol blijft.