Verkorting van de levensduur van TLS-certificaten: Voorbereiden op een toekomst van kortere geldigheidsperioden
Home / Media / News / Verkorting van de levensduur van TLS-certificaten: Voorbereiden op een toekomst van kortere geldigheidsperioden

Verkorting van de levensduur van TLS-certificaten: Voorbereiden op een toekomst van kortere geldigheidsperioden
19 mrt ‘25

Verkorting van de levensduur van TLS-certificaten: Voorbereiden op een toekomst van kortere geldigheidsperioden

Het digitale beveiligingslandschap ondergaat momenteel een significante transformatie, voornamelijk gedreven door de verkorte geldigheidsperiodes die door grote webbrowsers zijn geïntroduceerd voor SSL/TLS-certificaten. Deze beweging, die enkele jaren geleden begon, heeft aanzienlijk momentum gekregen na recente voorstellen van marktleiders zoals Apple en Google.

In oktober 2024 heeft Apple een voorstel ingediend bij het CA/Browser Forum dat gericht is op het aanzienlijk verkorten van de levensduur en geldigheid van TLS-certificaten, zoals uiteengezet in de stemming met de titel “SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods.”

Door dergelijke maatregelen te implementeren, streeft Apple ernaar de risico’s die verband houden met langdurige certificaatlevensduren te verminderen, ervoor te zorgen dat certificaten frequenter worden vernieuwd en daarmee de algehele beveiligingspositie van webcommunicatie te verbeteren.

Organisaties die afhankelijk zijn van veilige webverbindingen en elektronische transacties moeten deze ontwikkelingen nauwlettend volgen om de continuïteit van hun bedrijfsvoering te waarborgen, de efficiëntie van hun operaties te behouden en een robuuste beveiligingspositie te behouden.

 

De evolutie van geldigheidsperiodes van certificaten

De weg naar kortere certificaatlevensduren is al meer dan een decennium aan de gang en wordt gekenmerkt door een duidelijke daling in geldigheid. Een retrospectieve blik op deze historische ontwikkeling onthult een consistent patroon:

  • In 2012 konden certificaten tot wel 60 maanden (5 jaar) geldig blijven.
  • Tegen 2015 werd deze maximale geldigheidsduur teruggebracht tot 39 maanden.
  • In 2018 werd opnieuw een aanpassing gemaakt naar 825 dagen.
  • Vervolgens bereikte de industrie in 2020 de huidige standaard van 398 dagen (ongeveer 13 maanden).

Deze geleidelijke vermindering onderstreept de toenemende bewustwording in de cybersecuritygemeenschap dat langlopende certificaten aanzienlijke veiligheidsrisico’s met zich meebrengen. Elke opeenvolgende verlaging heeft het belang benadrukt van een balans tussen verbeterde beveiliging en operationele haalbaarheid. De bestaande periode van 398 dagen vertegenwoordigt een cruciaal compromis dat organisaties in staat stelt beheersbare jaarlijkse vernieuwingscycli in te stellen, terwijl tegelijkertijd de veiligheid wordt verbeterd in vergelijking met de eerder langere geldigheidsperioden.

  

De nieuwe golf van reducties in certificaatlevensduur

De relatieve stabiliteit van de periode van 398 dagen staat nu voor aanzienlijke uitdagingen door twee toonaangevende browserleveranciers. In maart 2023 haalde Google’s Chromium-projecten de krantenkoppen door de intentie aan te kondigen om de maximale geldigheidsduur voor openbare TLS-certificaten terug te brengen tot slechts 90 dagen. Dit initiatief, onderdeel van Google’s “Moving Forward, together” roadmap, duidt op een dramatische verschuiving in de benadering van certificaatbeheer in de industrie.

Daarentegen heeft Apple een nog assertievere houding aangenomen. Tijdens een CA/Browser Forum-vergadering in oktober 2023 presenteerde Apple een ontwerpvoorstel dat een geleidelijke verkorting van de maximale certificaatgeldigheidsperioden voorstelde. Aanvankelijk gericht op het bereiken van 45 dagen tegen 2027, is het voorstel van Apple sindsdien bijgewerkt om een iets verlengde tijdlijn en geldigheidsperiode weer te geven. Deze evolutie markeert een cruciaal moment in hoe organisaties het beheer van digitale certificaten in de toekomst zullen benaderen.

De bijgewerkte tijdlijn van Apple stelt nu voor:

  1. 15 maart 2026: Maximale geldigheid teruggebracht tot 200 dagen
  2. 15 maart 2027: Verdere verlaging naar 100 dagen
  3. 15 maart 2028: Definitieve verlaging naar 47 dagen

Daarnaast omvat het voorstel van Apple een geleidelijke vermindering van de hergebruikperiode van Domain Control Validation (DCV), waarbij uiteindelijk elke 10 dagen hervalidatie vereist is tegen eind 2027 of 2028. Dit aspect van het voorstel is bijzonder significant omdat het invloed heeft op hoe vaak domeineigendom moet worden geverifieerd.

Door de frequentie van hervalidatie te verhogen, wil Apple de veiligheidspraktijken rond domeinbeheer versterken, zodat de legitimiteit van domeineigendom consistent wordt gehandhaafd in een voortdurend veranderend dreigingslandschap.

 

Waarom worden certificaatlevensduren verkort?

De drang naar kortere geldigheidsperiodes voor certificaten wordt gedreven door verschillende dwingende veiligheids- en operationele overwegingen:

Verbeterde beveiliging door verminderde blootstelling

Kortere levensduren van certificaten verminderen aanzienlijk het tijdsvenster waarin aanvallers misbruik kunnen maken van gecompromitteerde certificaten. Wanneer certificaten kortere validatieperiodes hebben, is de potentiële schade van een gecompromitteerde private sleutel inherent beperkt door de vervaldatum van het certificaat. Deze beperking fungeert als een effectieve beveiligingsmaatregel in een tijdperk van steeds geavanceerdere aanvallen.

 

Stimulering van automatisering en best practices

Misschien wel het meest transformerende aspect van kortere certificaatlevensduren is de mogelijkheid om een significante verschuiving teweeg te brengen van handmatig certificaatbeheer naar geautomatiseerd beheer. Zowel Google als Apple hebben expliciet aangegeven dat een van de belangrijkste doelstellingen van hun voorstellen is om organisaties aan te moedigen geautomatiseerde certificaatbeheerpraktijken te adopteren.

Met certificaten die veel vaker vervallen, wordt het vertrouwen op handmatige processen steeds minder houdbaar. Deze realiteit dwingt organisaties om automatiseringsoplossingen te implementeren om kostbare serviceonderbrekingen te voorkomen en continue naleving van de evoluerende normen in digitale beveiliging te waarborgen.

Het inzetten van automatisering stroomlijnt niet alleen het beheerproces, maar versterkt ook de verdedigingsmechanismen van een organisatie in een omgeving van onophoudelijke cyberdreigingen.

 

Cryptografische wendbaarheid

Het cyberbeveiligingslandschap evolueert voortdurend, gekenmerkt door de opkomst van nieuwe dreigingen die oude cryptografische standaarden vaak achterhaald maken. Kortere certificaatlevensduren faciliteren een snellere adoptie van nieuwe cryptografische standaarden en protocollen, wat bijzonder belangrijk is nu we het begin van quantumcomputing naderen.

Wanneer certificaten vaker moeten worden vernieuwd, kan het hele ecosysteem zich snel aanpassen aan opkomende dreigingen en verbeterde standaarden, waardoor organisaties een stap voor blijven in hun beveiligingsmaatregelen. Deze wendbaarheid is essentieel, niet alleen voor het handhaven van robuuste verdedigingen, maar ook voor het waarborgen van veerkracht in het licht van een voortdurend veranderende dreigingsomgeving. Wanneer certificaten vaker moeten worden vernieuwd, kan het hele ecosysteem veel sneller reageren op opkomende dreigingen en verbeterde standaarden.

 

Verminderde afhankelijkheid van intrekking

Huidige mechanismen voor certificaatintrekking, zoals Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP), vertonen bekende beperkingen met betrekking tot zowel prestaties als privacy. Door kortere certificaatlevensduren te hanteren, kunnen organisaties de afhankelijkheid van deze intrekkingsmechanismen aanzienlijk verminderen, aangezien gecompromitteerde certificaten inherent sneller zullen vervallen.

Deze strategie pakt effectief een fundamentele uitdaging binnen het Public Key Infrastructure (PKI)-ecosysteem aan, terwijl het de noodzaak voor ingrijpende wijzigingen aan bestaande intrekkingsinfrastructuren vermijdt. Op deze manier dragen kortere levensduren bij aan een efficiënter en veiliger certificaatbeheerproces, waarbij operaties worden gestroomlijnd en de algehele beveiliging wordt verbeterd.

 

Afstemming met domeincontrole

Een ander voordeel van kortere certificaatlevensduren is de verbeterde afstemming tussen certificaatgeldigheid en domeineigendom. Aangezien domeinen regelmatig van eigenaar wisselen en organisaties herstructureringen of rebranding ondergaan, helpen kortere levensduren ervoor te zorgen dat certificaten nauwkeurig de huidige staat van domeineigendom weerspiegelen.

Deze praktijk vermindert aanzienlijk het risico dat certificaten geldig blijven lang nadat organisatorische veranderingen hebben plaatsgevonden. Door certificaten synchroon te houden met de laatste eigendomsdetails, kunnen organisaties hun beveiligingspositie versterken en het potentieel voor misbruik van verouderde certificaten minimaliseren.

 

 

De operationele uitdagingen van kortere certificaatlevensduren

Hoewel de beveiligingsvoordelen van kortere certificaatlevensduren duidelijk zijn, zijn de operationele implicaties aanzienlijk en potentieel ontwrichtend:

 

Toegenomen vernieuwingsfrequentie

De meest voor de hand liggende uitdaging is de aanzienlijke toename van het aantal certificaatvernieuwingsactiviteiten. Overgaan van certificaten met een geldigheidsduur van 398 dagen naar 47 dagen betekent een meer dan achtvoudige toename in de frequentie van vernieuwingen. Voor organisaties die duizenden certificaten beheren, vertegenwoordigt dit een aanzienlijke toename in de werklast als dit niet goed wordt geautomatiseerd.

 

Risico op storingen en onderbrekingen

Certificaatgerelateerde storingen zijn al een veelvoorkomend probleem voor veel organisaties. Het onverwacht vervallen van een TLS-certificaat kan websites ontoegankelijk maken, applicatiefouten veroorzaken en bedrijfsoperaties stilleggen. Met kortere certificaatlevensduren neemt de kans op dergelijke storingen evenredig toe als de certificaatbeheerprocessen niet worden bijgewerkt.

 

Middelenbeperkingen voor kleinere organisaties

Terwijl grote ondernemingen vaak beschikken over toegewijde teams en geavanceerde hulpmiddelen voor certificaatbeheer, missen kleinere organisaties doorgaans deze middelen en kunnen ze het moeilijk vinden om te voldoen aan de verhoogde operationele eisen die gepaard gaan met het beheren van certificaten met aanzienlijk kortere levensduren. Deze discrepantie kan leiden tot nieuwe beveiligingskwetsbaarheden binnen het digitale ecosysteem.

 

Overgangscomplexiteit

Het aanpassen van organisatieprocessen, het updaten van hulpmiddelen en het trainen van personeel om kortere certificaatlevenscycli te accommoderen, vormt een aanzienlijke overgangsuitdaging. Organisaties die gewend zijn aan jaarlijkse vernieuwingscycli zullen hun beheerspraktijken fundamenteel moeten herzien.

 

Voorbereiden op de Toekomst: Best Practices voor Aanpassing

Gezien de onvermijdelijkheid van kortere certificaatlevensduren zouden organisaties nu moeten beginnen met hun voorbereiding in plaats van te wachten tot deze veranderingen verplicht worden. Hier zijn essentiële strategieën om je aan te passen aan deze nieuwe realiteit:

Omarm automatisering als een noodzaak

De belangrijkste stap is het implementeren van uitgebreide automatisering van de certificaatlevenscyclus. Handmatig certificaatbeheer zal simpelweg niet houdbaar zijn met levensduren van 47 dagen of zelfs 90 dagen. Automatiseringstools kunnen de hele certificaatlevenscyclus beheren, van sleutelgeneratie en CSR-indiening tot installatie en vernieuwing. Deze aanpak vermindert niet alleen het risico op storingen, maar bevrijdt IT-teams ook van repetitieve en foutgevoelige taken.

 

Zorg voor volledige certificaatzichtbaarheid

Je kunt niet beheren wat je niet kunt zien. Veel organisaties hebben geen zicht op hun certificaatinventaris, en uit een studie blijkt dat 62% van de respondenten niet weet hoeveel certificaten ze hebben. Het implementeren van tools en processen om alle certificaten binnen de organisatie te ontdekken, te monitoren en te volgen, is een essentiële basis voor effectief certificaatbeheer.

 

Ontwikkel robuuste waarschuwingssystemen

Zelfs met automatisering blijven monitoring- en waarschuwingssystemen cruciaal. Deze systemen moeten vroege waarschuwingen geven voor certificaten die op het punt staan te vervallen, zodat teams problemen kunnen aanpakken voordat ze storingen veroorzaken. Idealiter moet de waarschuwing via meerdere kanalen plaatsvinden en gepaste escalatie toepassen op basis van de criticaliteit van het certificaat en de nabijheid van verval.

 

Informeer stakeholders binnen de organisatie

Certificaatbeheer is niet alleen een functie van IT-beveiliging—het beïnvloedt ontwikkelteams, operaties en zelfs bedrijfsunits die afhankelijk zijn van certificaatbeveiligde applicaties. Onderwijs stakeholders binnen de organisatie over het belang van certificaatbeheer en de implicaties van kortere levensduren helpt een cultuur van gedeelde verantwoordelijkheid op te bouwen.

 

Overweeg een privé PKI voor interne certificaten

Hoewel publiek vertrouwde certificaten onderworpen zijn aan de geldigheidsperioden die door browserleveranciers zijn opgelegd, kunnen interne certificaten die via een privé PKI worden beheerd andere regels volgen. Organisaties zouden moeten evalueren of sommige gebruiksgevallen beter bediend zouden worden met een interne PKI-infrastructuur, die meer flexibiliteit biedt in het beheren van certificaatlevenscycli.

 

De Toekomst van Certificaatbeheer

De trend naar kortere certificaatlevensduren vertoont geen tekenen van ommekeer. In feite worden voor bepaalde omgevingen, zoals containerapplicaties en DevOps-pijplijnen, certificaatlevensduren al gemeten in uren of zelfs minuten in plaats van dagen. Dit suggereert dat de toekomst van certificaatbeheer ligt in volledig geautomatiseerde, API-gestuurde systemen die certificaatlevenscyclusoperaties met machinesnelheid kunnen afhandelen.

Organisaties die zich succesvol aanpassen aan deze veranderingen zullen niet alleen profiteren van een verbeterde beveiliging, maar ook van een meer wendbare en veerkrachtige infrastructuur. De verschuiving naar automatisering, hoewel aanvankelijk gedreven door noodzaak, levert uiteindelijk operationele voordelen op die verder gaan dan louter naleving van nieuwe standaarden.

 

 

Conclusie

De verkorting van de levensduur van TLS-certificaten vertegenwoordigt zowel een verbetering van de beveiliging als een operationele uitdaging. Door de rationale achter deze veranderingen te begrijpen en proactief de bovenstaande strategieën te implementeren, kunnen organisaties deze transitie succesvol navigeren terwijl ze hun algehele beveiligingspositie versterken.

Hoewel de exacte tijdlijn voor deze veranderingen mogelijk nog kan evolueren door industriële discussies en formele goedkeuringsprocessen, is de richting duidelijk. De geldigheidsperiodes van certificaten nemen af, en organisaties die nu beginnen met voorbereiden, zullen goed gepositioneerd zijn om deze veranderingen aan te pakken zonder verstoring van hun kritische operaties.

De belangrijkste conclusie is dat automatisering niet langer optioneel is—het is een essentieel onderdeel van modern certificaatbeheer. Door deze realiteit te omarmen en te investeren in de juiste tools en processen, kunnen organisaties wat anders een belastende nalevingsuitdaging zou zijn, omzetten in een kans om hun beveiligingsoperaties te verbeteren.

Bronnen:

https://github.com/cabforum/servercert/pull/553 

https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/ 

https://www.globalsign.com/en/blog/90-days-to-47-certificate-lifespans-and-automation  

https://scotthelme.co.uk/are-shorter-certificates-finally-coming/

https://www.darkreading.com/cybersecurity-operations/navigating-the-future-with-shorter-tls-lifespans