De geldigheidsduur van TLS certificaten

De geldigheidsduur van TLS certificaten

Sinds 1 september 2020 accepteren de grotere browsers Google Chrome, Mozilla Firefox en Apple Safari geen SSL/TLS certificaten meer met een geldigheidsperiode van meer dan 398 dagen. In dit artikel bespreken we de aanleiding hiertoe en welke impact dit op jou heeft.

SSL of TLS? Een korte geschiedenis

SSL staat voor ‘Secure Sockets Layer’ en werd in 1994 door Netscape ontwikkeld. Van SSL zijn drie versies verschenen, 1.0 (1994), 2.0 (1995) en 3.0 (1996). Iedere versie bevatte beveiligingsproblemen die na iedere release vrij snel aan het licht kwamen. De laatste SSL versie, 3.0, word sinds 2014 als onveilig beschouwd.

In 1999 werd TLS (Transport Layer Security) 1.0 vrijgegeven. Daarop volgde TLS versies 1.1 (2006), 1.2 (2008) en 1.3 (2018). Je kan aannemen dat TLS een doorontwikkeling is van SSL en wat alle tekortkomingen van SSL heeft opgevangen.

Dus als men spreekt over ‘SSL’, dan spreekt men tegenwoordig eigenlijk over ‘TLS’. De term ‘SSL’ is simpelweg in gebruik gebleven, maar men verwijst ermee naar de ‘TLS’ techniek. Daarom zie je ook vaak de samentrekking ‘SSL/TLS’.

Voor een mooie SSL/TLS tijdlijn, check SSL/TLS and PKI History.

TLS certificaten op je website

Om je website te beveiligen, gebruik je een TLS certificaat. Met de nodige technische kennis kan je je eigen TLS certificaat zelf onderteken en op je website plaatsen. Als je dat correct doet, is je website prima beveiligd. Maar … de bezoekers van je website krijgen dan een ‘certificaatfout’ te zien. Hoe komt dat?

In je besturingssysteem is een hele lijst met root-CA’s (Certificate Authority) opgenomen. Een root-CA is een entiteit die – na een controle – een TLS certificaat ondertekent. Enkel TLS certificaten die ‘ondertekend’ zijn door een erkende root-CA, worden door je webbrowser als ‘geldig’ beschouwd. Een TLS certificaat wat jij zelf ondertekend is technisch gezien even veilig, maar wordt door je webbrowser niet als ‘geldig’ erkend.

Om je website dus veilig en voor je bezoekers goed bereikbaar te maken, is een geldig TLS certificaat nodig. Het genereren van een TLS certificaat is gratis, maar een root-CA vraagt een bijdrage om jouw TLS certificaat te ‘ondertekenen’ zodat het herkent zal worden door de webbrowser van je bezoekers. Afhankelijk van het type TLS certificaat (dat zullen we in een toekomstig blogartikel bespreken) kost het ondertekenen van een TLS certificaat tussen de €20 en €2000 (soms zelf meer) per jaar.

Let’s Encrypt heeft zich tot doel gesteld om gratis TLS certificaten aan te bieden die geaccepteerd worden door je webbrowser.

Geldigheidsduur van een TLS certificaat

Tot voor kort werden TLS certificaten uitgegeven die meerdere jaren (tot zelfs 10 jaar) geldig waren. De maximale geldigheidsduur werd in de voorbije jaren al enkele keren verkort. Hoe kan men een geldigheidsduur verkorten? Dat doen de grotere webbrowsers. Bij het bezoeken van een website controleert de webbrowser de geldigheid en de geldigheidsduur van het certificaat. Is een certificaat nu langer geldig dan 398 dagen? Dan zal de webbrowser een ‘certificaatfout’ aan je bezoekers tonen.

De reden om de geldigheidsduur van TLS certificaten te verkorten is om de kans te verkleinen dat certificaten misbruikt worden (bv. door het lekken van de private key van een certificaat) en dat verouderde technieken gebruikt worden.

De gratis TLS certificaten van Let’s Encrypt hebben zelfs een geldigheidstermijn van slechts drie maanden. Waarom? Daar hebben zij goede redenen voor, die leggen zij hier haarfijn uit (TL;DR: omwille van de veiligheid en het aanmoedigen van automatisatie).

Google, Mozilla en Apple hebben aangekondigd dat hun webbrowsers vanaf 1 september 2020 geen certificaten meer accepteren die langer dan 398 dagen geldig zijn.

TLS certificaten bij Nexxwave

Websites die in onze cloud gehost worden, krijgen automatisch een Let’s Encrypt certificaat toegewezen. Voor jouw gemak vernieuwen we deze certificaten ook automatisch wanneer deze verlopen. Gebruik je toch liever een eigen certificaat? Dan kan je je eigen certificaat in je controlepaneel uploaden. Moest je eigen certificaat onverhoopt toch verlopen, dan zullen we automatisch een Let’s Encrypt certificaat voor je activeren. Zo blijft je website steeds veilig bereikbaar voor je bezoekers.

De enige voorwaarde om dat proces automatisch te laten gebeuren, is dat je domeinnaam samen met je webhosting wordt afgenomen. Heb je je domeinnaam bij een andere provider staan? Dan zal je manueel aanpassingen aan je DNS moeten doen. Of je kan je domeinnaam verhuizen naar Nexxwave, dan neemt onze automatisatie je alle werk uit handen.

Heb je vragen of hulp nodig met je TLS certificaten? Neem dan gerust contact met ons op of bekijk onze webhosting pakketten.

Good to know

Controleer gratis jouw website en certificaat

Op de website van SSL Labs kan je jouw website automatisch laten controleren. Heb je een slechte score? Neem gerust contact met ons op en we kijken waar we jou bij kunnen helpen.

Moeten alle oude certificaten onmiddellijk vernieuwd worden?

Als je bijvoorbeeld in januari 2020 een certificaat aankocht met een geldigheidsduur van 2 jaar, dan zal dat certificaat in februari 2021 ook nog steeds als ‘geldig’ herkent worden. Enkel certificaten die na 1 september 2020 uitgegeven zijn, mogen een geldigheidsduur van maximaal 398 dagen hebben.

Niet van toepassing voor private root-CA’s

Gebruik je – in jouw organisatie – een private root-CA en geef je zelf TLS certificaten uit die langer geldig zijn dan 1 jaar? Geen probleem. Enkel openbaar vertrouwde root-CA’s zijn onderhevig aan deze regeling. Maar een best-practice is natuurlijk om de security aanbevelingen van de grote jongens te volgen en geen certificaten uit te geven die jaren geldig zijn.

Let’s Encrypt video

Wil je meer weten over Let’s Encrypt? Bekijk dan onderstaande video (Engels, 14 minuten).