47-daagse TLS-certificaten 

SSL- (Secure Sockets Layer) of TLS-certificaten (Transport Layer Security) zijn digitale gegevens die de verbinding tussen uw webbrowser en een website beveiligen. Deze certificaten beveiligen de verbinding tussen uw browser en een website door gegevens zoals wachtwoorden te versleutelen en de legitimiteit van de site te verifiëren. Dit beschermt uw gegevens tegen aanvallers en voorkomt nepwebsites. Een hangslotpictogram in de browser geeft aan wanneer een site deze certificaten gebruikt.  

Het CA/B Forum heeft officieel een gefaseerde verkorting van de geldigheidsduur van openbare SSL/TLS-certificaten goedgekeurd, wat resulteert in een maximale geldigheidsduur van 47 dagen in maart 2029. Deze wijziging, ondersteund door Apple, Google, Mozilla en Microsoft, verkort ook de periode voor hergebruik van domeinvalidatie tot 10 dagen. Domain Control Validation (DCV) is het proces dat door certificeringsinstanties (CA's) wordt gebruikt om te verifiëren of iemand die een SSL/TLS-certificaat aanvraagt, daadwerkelijk eigenaar is van of controle heeft over het betreffende domein. Deze wijziging is bedoeld om de beveiliging te verbeteren, maar brengt nieuwe operationele uitdagingen met zich mee voor organisaties.  

Tijdlijn van de verlaging van de geldigheid van SSL/TLS-certificaten

De geldigheidsduur van SSL/TLS-certificaten is in de loop der jaren gestaag afgenomen om de online veiligheid te verbeteren. Deze verschuiving weerspiegelt de groeiende behoefte aan snellere sleutelrotatie, snellere reactie op kwetsbaarheden en verbeterde cryptografische praktijken. Hieronder vindt u een tijdlijn die laat zien hoe deze veranderingen zich hebben ontwikkeld en waarom ze noodzakelijk waren.

2011: Certificaten geldig voor 8-10 jaar 

• Waarom zo lang? 
  Vroegtijdig, CA's en browserleveranciers stonden lange geldigheidsperiodes toe omdat de beveiligingsinfrastructuur van het web minder volwassen was. De focus lag op gemak en minimaliseerde de administratieve overhead voor organisaties en gebruikers. Lange levensduur betekende minder verlengingen, wat certificaatbeheer eenvoudiger maakte, maar ten koste ging van de flexibiliteit van de beveiliging. 

• Nadelen: 
  Certificaten met een lange geldigheidsduur zorgden ervoor dat kwetsbaarheden (zoals gecompromitteerde sleutels of verouderde cryptografische algoritmen) jarenlang in gebruik bleven, waardoor de veiligheidsrisico's toenamen. 

2015: Teruggebracht tot 3 jaar 

• Reden voor reductie: 
  In 2015 erkende de sector de noodzaak van frequentere sleutelrotatie om de beveiliging te verbeteren. Cryptografische standaarden ontwikkelden zich snel en langlopende certificaten werden als riskant beschouwd omdat ze de blootstelling aan potentiële inbreuken verlengden. 

• Impact: 
  Door de verlaging werden organisaties gestimuleerd om certificaten vaker te verlengen, wat leidde tot een betere beveiliging. Tegelijkertijd bleven de verlengingen beheersbaar. 

2018: Teruggebracht tot 2 jaar 

• Waarom nog verder verkorten? 
  Met toenemende cyberdreigingen en snellere ontwikkelingen in cryptoanalyse werd een periode van drie jaar te lang geacht om adequaat te kunnen reageren op opkomende kwetsbaarheden. Een verkorting tot twee jaar sloot beter aan bij best practices in cryptografisch levenscyclusbeheer. 

• Industrie Push: 
  Browserleveranciers en de CA / Browser Forum hebben op deze wijziging aangedrongen om de webbeveiliging te verbeteren en het risico op misbruik of inbreuk te verkleinen. 

September 2020: Teruggebracht tot 398 dagen (ongeveer 13 maanden) 

• Motivatie: 
  De verschuiving naar een geldigheidsduur van ongeveer één jaar weerspiegelde de behoefte aan een flexibele reactie op bedreigingen, snellere sleutelrotaties en een snellere invoering van bijgewerkte cryptografische standaarden. Deze wijziging maakte het voor aanvallers moeilijker om gecompromitteerde certificaten gedurende langere tijd te misbruiken. 

• Browserhandhaving: 
  Grote browsers hebben deze limiet ingevoerd om de algemene internetbeveiliging te verbeteren en vereisen meer automatisering van het certificaatbeheer. 

Huidig ​​(2025): Nog 398 dagen

• Aankomende wijzigingen: 
  Het CA/Browser Forum heeft een gefaseerde vermindering tot een maximale levensduur van 47 dagen goedgekeurd tegen maart 2029, waarbij het hergebruik van domeinvalidatie wordt teruggebracht tot 10 dagen. 

• Waarom nu? 
  De snellere doorlooptijd is bedoeld om de risico's die gepaard gaan met gecompromitteerde certificaten, foutieve uitgifte en verouderde cryptografie drastisch te verminderen. Het ondersteunt ook het evoluerende landschap van beveiligingsstandaarden, waaronder kwantumresistente algoritmen. 

• Operationele uitdagingen: 
  Dit vereist dat organisaties sterk geautomatiseerde en schaalbare certificaatbeheersystemen implementeren om frequente vernieuwingen en validaties foutloos te kunnen verwerken. 

Wat verandert er? 

Het CA/Browser Forum heeft een gefaseerde verkorting van de certificaatlevensduur goedgekeurd. Dit betekent dat certificaten veel vaker moeten worden verlengd, waardoor handmatige processen voor de meeste organisaties onhoudbaar worden. 

Datum	Maximale geldigheidsperiode	DCV Hergebruikperiode
15 maart 2026	200 dagen	-
15 maart 2027	100 dagen	-
15 maart 2029	47 dagen	10 dagen

In 2023 stelde Google voor de levensduur van TLS-certificaten te verkorten van 398 dagen naar slechts 90 dagen om de beveiliging te verbeteren en automatisering te stimuleren. Apple ging een stap verder en adviseerde een limiet van 47 dagen. Na overleg binnen de branche keurde het CA/Browser Forum een ​​gefaseerd plan goed om certificaten van 47 dagen in te voeren tegen 2029. Grote browsers hebben deze stap gesteund om risico's te verlagen en veiligere webverbindingen te garanderen.  

Organisaties die nog steeds oudere, verouderde TLS-versies gebruiken, zoals TLS 1.0 of TLS 1.1, of die vertrouwen op zwakke coderingssuites zoals RC4 of SHA-1, worden geconfronteerd met ernstige beveiligings- en operationele uitdagingen. Deze verouderde protocollen en algoritmen zijn kwetsbaar voor aanvallen zoals POODLE en BEAST, en moderne browsers en CA's ondersteunen ze niet meer.

Met de verschuiving naar kortere certificaatlevensduur en strengere beveiligingsregels moeten organisaties hun systemen upgraden naar ten minste TLS 1.2 of bij voorkeur TLS 1.3. Ze zouden ook zwakke encryptie moeten vervangen door sterkere opties zoals AES-GCM en Elliptic Curve Cryptography (ECC). Dit komt doordat deze moderne algoritmen betere prestaties en een hogere beveiliging bieden. AES-GCM biedt geverifieerde encryptie, wat helpt om datamanipulatie te voorkomen, terwijl ECC sterke encryptie biedt met kortere sleutellengtes, waardoor het sneller en efficiënter is. 

De voors

Het gebruik van kortere certificaatlevensduur is een eenvoudige manier voor organisaties om hun beveiliging te verbeteren. Wanneer certificaten vaker worden vervangen, wordt het voor aanvallers moeilijker om misbruik te maken van gecompromitteerde certificaten. Deze aanpak helpt de schade door potentiële beveiligingsrisico's te beperken en maakt het gemakkelijker om systemen veilig en up-to-date te houden. Kortere certificaatlevensduur biedt duidelijke beveiligingsvoordelen, zoals:

• Verminderd aanvalsoppervlak: Gecompromitteerde certificaten zijn korter geldig, waardoor het risico, zoals datalekken, wordt beperkt. Door de tijd dat een gecompromitteerd certificaat kan worden misbruikt, te minimaliseren, verminderen organisaties het risico op langdurige beveiligingsincidenten, sancties van toezichthouders, reputatieschade en financiële verliezen als gevolg van downtime of datalekken. In omgevingen met hoge risico's kan deze kortere blootstellingstijd zowel de impact op de beveiliging als op de bedrijfsvoering aanzienlijk verminderen.  
  Voorbeeld – SSL.com-certificaatfout (april 2025)In april 2025 ontdekte SSL.com een ​​fout in zijn DCV-proces waardoor gebruikers domeinen die ze niet bezaten, onjuist konden valideren. Dit leidde tot de verkeerde uitgifte van 11 SSL/TLS-certificaten, die mogelijk misbruikt konden worden om vervalste websites te hosten of man-in-the-middle (MITM)-aanvallen uit te voeren. Hoewel de certificaten binnen 24 uur na ontdekking werden ingetrokken, benadrukte het incident het gevaar van het vertrouwen op certificaten met een lange levensduur wanneer er validatiefouten optreden. 
• Up-to-date beveiliging: Geautomatiseerde certificaatvernieuwingen helpen organisaties om bij te blijven met moderne cryptografische standaarden zoals SHA-2, RSA (Rivest, Shamir, Adleman), ECC en vele andere. Ze verminderen het risico op het gebruik van verouderde of zwakke algoritmen door regelmatige updates te garanderen. Naarmate de levensduur van certificaten korter wordt, worden verlengingen frequenter, waardoor er natuurlijke momenten ontstaan ​​om de cryptografische sterkte te evalueren, sleutels te roteren en oude encryptiemethoden uit te faseren.  
  Deze aanpak versterkt niet alleen de huidige beveiliging, maar maakt het ook gemakkelijker om nieuwe standaarden zoals post-kwantumcryptografie te implementeren wanneer de tijd rijp is. Zonder automatisering is het vrijwel onmogelijk om dit niveau van cryptografische routine te handhaven en op te schalen. De beslissing van Mozilla en Google om Entrust in 2024 te wantrouwen, onderstreept de noodzaak van flexibiliteit in certificaatbeheer. Met een levensduur van 47 dagen kunnen organisaties sneller van CA wisselen, de afhankelijkheid van langetermijnvertrouwensankers verminderen en snel reageren op complianceproblemen.

• Vereenvoudigd certificaatvoorraadbeheerRegelmatige verlengingen bevorderen een betere certificaattracking en -bewustzijn. Organisaties krijgen realtime inzicht in welke certificaten actief zijn, waardoor het aantal 'vergeten' of 'verweesde' certificaten die beveiligingslekken kunnen veroorzaken, afneemt. In 2023 meldde Cisco dat regelmatige certificaatverlengingen hen hielpen om 'verweesde' certificaten in hun netwerk te identificeren en te verwijderen, waardoor de beveiliging werd verbeterd en onverwachte uitval werd voorkomen. 
• Ondersteunt Zero-Trust-beveiliging: Door certificaten continu te valideren, vermijden organisaties het vertrouwen van verlopen of ingetrokken certificaten en houden ze de toegang strikt gecontroleerd. Handmatig certificaatbeheer maakt dit echter lastig en biedt ruimte voor menselijke fouten en vertraagde reacties. Onze Certificate Lifecycle Management (CLM)-oplossing, CertSecure Manager, helpt u de volledige certificaatlevenscyclus te automatiseren, risico's te verminderen, tijd te besparen en uw organisatie te laten voldoen aan de beveiligingsdoelstellingen. 

• Betere compatibiliteit met Cloud en DevOps: Moderne cloud-native omgevingen en geautomatiseerde pijplijnen profiteren van frequente certificaatrotaties, waardoor de integratie met tijdelijke infrastructuur wordt verbeterd en verouderde inloggegevens tot een minimum worden beperkt. 

de Nadelen

• Exponentiële toename van de werklast: De overstap van 398 dagen naar 90 of zelfs 47 dagen betekent tot wel vier keer zoveel verlengingen per jaar. Voor een bedrijf dat honderden of duizenden certificaten beheert, wordt dit al snel overweldigend. Een e-commercebedrijf met 500 certificaten zou bijvoorbeeld jaarlijks meer dan 2,000 verlengingen moeten verwerken, wat de administratieve last aanzienlijk verhoogt. 

• Handmatig beheer wordt onpraktisch: Het handmatig bijhouden, verlengen en implementeren van certificaten is foutgevoelig en leidt tot uitval, nalevingsfouten en beveiligingslekken. Zo had Microsoft Teams in 2019 een drie uur durende storing toen een verlopen authenticatiecertificaat ervoor zorgde dat 20 miljoen gebruikers geen toegang meer hadden tot het platform. Het incident bracht de risico's van handmatig certificaatbeheer aan het licht, zelfs voor grote technologiebedrijven.  
  Als Microsoft certificaten met een kortere geldigheidsduur had geïmplementeerd, zoals een geldigheidsduur van 47 dagen in combinatie met automatische verlenging en monitoring, zou het verlopen certificaat waarschijnlijk ruim van tevoren zijn gedetecteerd en vervangen. Een kortere geldigheidsduur zorgt voor frequentere controles en verkleint de kans op certificaatgerelateerde fouten, waardoor dergelijke uitval veel minder waarschijnlijk is. Deze casus onderstreept het belang van het afdwingen van kortere verlengingscycli en automatisering in CLM.

• Hulpbronnenspanning: IT-teams moeten meer tijd, personeel en training besteden aan certificaatbeheer, waardoor de focus wordt afgeleid van strategisch werk. In kleinere organisaties kan de toegenomen werkdruk teams dwingen om kritieke upgrades of beveiligingsverbeteringen uit te stellen. 

• Risico op uitval: Verlopen certificaten veroorzaken serviceonderbrekingen, verlies van klantvertrouwen en mogelijk omzetverlies. Volgens het State of Machine Identity Management Report uit 2022 meldt ongeveer 81% van de organisaties jaarlijks certificaatgerelateerde storingen. Zo ondervond Google Voice in 2021 een wereldwijde storing vanwege een verlopen TLS-certificaat, waardoor gebruikers urenlang niet konden bellen. Ook de SD-WAN-apparaten van Cisco ondervonden storingen toen een hardwarecertificaat verliep, wat de connectiviteit van het bedrijf beïnvloedde en dringend ingrijpen vereiste.

• Compliance-complexiteit: Het handhaven van veranderende normen en auditvereisten wordt een grotere uitdaging zonder automatisering. Bij de inbreuk bij Equifax verliep het certificaat van een monitoringapparaat 19 maanden lang onopgemerkt, waardoor aanvallers ongemerkt toegang konden krijgen tot gevoelige gegevens. Equifax had destijds 324 verlopen SSL-certificaten, waaronder 79 op kritieke monitoringapparaten, wat aantoont hoe tekortkomingen in certificaatbeheer kunnen leiden tot ernstige nalevingsfouten en wettelijke sancties. 

Automatisering: de enige haalbare oplossing 

Omdat certificaten vaker moeten worden verlengd, is handmatig beheer niet langer praktisch, omdat het de kans op menselijke fouten, gemiste deadlines en mogelijke serviceonderbrekingen vergroot. Volgens het CA/Browser Forum, dat de certificaatstandaarden beheert, maken kortere certificaatlevensduurs deel uit van een bredere strategie om de beveiliging en aanpasbaarheid aan opkomende cryptografische standaarden te verbeteren. 

Organisaties die grootschalige certificaatinventarissen beheren, moeten geautomatiseerde systemen implementeren om verlengingen op meerdere platforms te verwerken en zo schaalbaarheid te garanderen. Automatisering brengt echter ook uitdagingen met zich mee: 

• Automatisering van certificaatintrekkingHet kan lastig zijn om certificaten in realtime in te trekken en ervoor te zorgen dat alle afhankelijke systemen de wijziging doorvoeren. 

• Tijdige voortplanting:De intrekkingsstatus moet snel worden verspreid via OCSP en CRL's om te voorkomen dat verouderde of kwetsbare certificaten vertrouwd blijven. 

• OCSP-stapeling en CRL-beheer:Deze vereisen een zorgvuldige configuratie om te garanderen dat browsers en systemen actuele intrekkingsinformatie ontvangen. 

• AfhankelijkheidsbeheerCertificaten hebben vaak applicatie- of serviceafhankelijkheden die coördinatie vereisen tijdens updates of intrekkingen. 

• Audit en zichtbaarheid:Het is belangrijk dat geautomatiseerde acties worden vastgelegd en traceerbaar zijn om te voldoen aan de nalevingsvereisten en probleemoplossing. 

• Downtimerisico: Onjuiste automatisering kan onverwachte serviceonderbrekingen veroorzaken. 

Automatisering stroomlijnt het verlengingsproces en helpt bij het handhaven van de naleving van beveiligingsbeleid en wettelijke normen, wat essentieel is om beveiligingskwetsbaarheden te voorkomen. Bovendien kan automatisering van certificaatbeheer de risico's op fouten, downtime en mogelijke beveiligingsinbreuken aanzienlijk verminderen, wat de kostenefficiëntie en operationele betrouwbaarheid verbetert. Naarmate de behoefte aan snellere beveiliging toeneemt, is automatisering essentieel geworden voor bedrijven om veilig en compliant te blijven.

Aanbevolen stappen voor het implementeren van automatisering 

Van organisaties wordt verwacht dat ze voldoen aan beveiligingsnormen, complianceregels volgen en ervoor zorgen dat de dienstverlening soepel blijft verlopen. Naarmate digitale systemen groeien en het certificaatgebruik toeneemt, is het belangrijk om de aanbevelingen van de sector te volgen. Deze zijn gebaseerd op echte uitdagingen en helpen risico's zoals verlopen certificaten of beveiligingsproblemen te verminderen. Door deze richtlijnen te gebruiken, kunnen teams de beveiliging verbeteren, handmatige fouten voorkomen en voorbereid blijven op audits en beleidswijzigingen. 

• Voer een volledige audit uit van uw certificaatinventaris 

• Identificeer platforms en systemen die automatisering vereisen 

• Selecteer een uitgebreide CLM-oplossing 

• Integreer de CLM met bestaande infrastructuur en DevOps-pijplijnen 

• Definieer het beleid voor verlenging, uitgifte en intrekking 

• Plan regelmatig nalevingscontroles en rapportages 

CertSecure Manager van Encryption Consulting 

CertSecure Manager van Encryption Consulting LLC is ontwikkeld om de uitdagingen van de overstap naar kortere certificaatlevensduur, zoals 47 dagen, aan te pakken. Met deze veranderingen wordt automatisering essentieel voor efficiënt beheer van de nieuwe certificaatomgeving.

1. Implementeer een CLM-oplossing 

Een CLM-oplossing is essentieel voor het efficiënt verwerken van interne en externe certificaten, het waarborgen van cryptografische naleving en het stroomlijnen van de inventarisatie en rapportage van certificaten. CertSecure Managerbiedt bijvoorbeeld een uitgebreide oplossing die de volledige levenscyclus van certificaten automatiseert, van ontdekking tot implementatie, vernieuwing en intrekking. Hierdoor wordt de handmatige inspanning die gepaard gaat met het beheer van certificaten tot een minimum beperkt. 

Het automatiseert ook nalevingscontroles om ervoor te zorgen dat alle certificaten voldoen aan industrienormen zoals PCI-DSS, AVG en ISO. Er worden uitgebreide rapporten gegenereerd voor audits, wat de nalevingsprocessen vereenvoudigt. 

2. Geautomatiseerde certificaatdetectie en inventarisatie 

CertSecure Manager detecteert automatisch alle certificaten in uw infrastructuur, of deze nu on-premises, in de cloud of in hybride omgevingen zijn. Het biedt een complete certificaatinventarisatie, zodat geen enkel certificaat onbeheerd blijft, inclusief zelfondertekende certificaten die een beveiligingsrisico kunnen vormen. Met deze gecentraliseerde inventarisatie kunt u snel certificaten identificeren die aan vernieuwing toe zijn, waardoor het risico dat verlopen certificaten problemen veroorzaken aanzienlijk wordt verkleind. 

3. Geavanceerde ACME-protocolintegratie 

Door gebruik te maken van de ACME-protocolCertSecure Manager automatiseert de uitgifte en verlenging van certificaten op een veilige, gestandaardiseerde manier. Dit elimineert handmatige tussenkomst en zorgt ervoor dat certificaten altijd op tijd worden verlengd, zelfs bij de frequente verlengingscycli die nodig zijn bij kortere geldigheidsperiodes van bijvoorbeeld 47 dagen. 

4. Automatische verlenging, heruitgifte en intrekking 

CertSecure Manager automatiseert het vernieuwen en opnieuw uitgeven van certificaten, zodat deze altijd up-to-date zijn. Het trekt ook gecompromitteerde of onnodige certificaten in, waardoor beveiligingsrisico's worden verminderd en compliance wordt gewaarborgd. 

Deze automatisering zorgt voor een ononderbroken bedrijfsvoering binnen een organisatie en verbetert de beveiliging door snel gecompromitteerde of onnodige certificaten aan te pakken. Het maakt het voldoen aan compliance-eisen eenvoudiger door certificaten tijdig te beheren, duidelijke administratie bij te houden en de beveiliging te verbeteren, terwijl de werklast wordt verminderd en vertrouwen wordt opgebouwd. 

5. Naleving en rapportage 

CertSecure Manager automatiseert nalevingscontroles en zorgt ervoor dat uw certificaten voldoen aan industrienormen zoals NIST, HIPAA en AVG. Het genereert uitgebreide rapporten voor auditdoeleinden, waardoor het gemakkelijker wordt om te voldoen aan wettelijke vereisten. Deze rapporten helpen u ook bij het beoordelen van uw certificaatinfrastructuur en het identificeren van potentiële zwakke punten voordat ze problematisch worden. 

6. Naadloze integraties en verlengingsagenten voor verbeterd certificaatbeheer 

CertSecure Manager integreert met verschillende tools en platforms, waaronder Terraform, Ansible, Azure Key Vault en Splunk, om gestroomlijnd certificaatbeheer te garanderen. Het automatiseert de provisioning, verlenging en implementatie van certificaten binnen CI/CD-pipelines in databases, webservers (Apache, IIS, NGINX) en meer. Verlengingsagenten zijn aangepast voor deze services, waardoor certificaten consistent worden bijgewerkt en veilig zijn. 

Nu de sector overstapt op certificaatgeldigheidsperiodes van 47 dagen, helpen de integraties en geautomatiseerde processen van CertSecure Manager bij het handhaven van de beveiliging, naleving en uptime door verlengingen af ​​te handelen en certificaten in verschillende omgevingen te beheren met minimale handmatige inspanning. 

Conclusie 

De overstap naar een TLS-certificaat met een geldigheidsduur van 47 dagen is slechts één voorbeeld van hoe digitale beveiliging zich ontwikkelt om moderne bedreigingen het hoofd te bieden. Hoewel een kortere certificaatlevensduur het risico op inbreuk aanzienlijk vermindert, vereisen ze ook geavanceerdere en geautomatiseerde beheerprocessen. Om voorop te blijven lopen, hebben organisaties uitgebreide oplossingen nodig die de levenscyclus van certificaten automatiseren en inspelen op bredere beveiligings- en compliancebehoeften. 

Encryption Consulting biedt een volledig scala aan beveiligingsdiensten en certificaatbeheer, waaronder PKI-audits, enterprise PKI-ontwerp en optimalisatie, encryptie-audits en codeondertekeningsoplossingen via onze CodeSign Secure platform. Wij ondersteunen Zero Trust en bieden voortdurende nakoming advies en hulp bij het beveiligen van digitale activa met een sterke identiteit en encryptie Onze expertise zorgt ervoor dat uw organisatie beschermd, compliant en voorbereid blijft op de veranderende cybersecurity-uitdagingen.