Navigeren door Apple's voorstel om de levensduur van TLS-certificaten te verkorten

Het is geen voorstel meer. De CA / Browser Forum Onlangs werd unaniem (25-0 stemmen) gestemd over een beleid om de maximale geldigheidsduur van openbare TLS-certificaten te verkorten tot slechts 47 dagen, met ingang van maart 2029. Deze nieuwe standaard is geen voorstel, maar een goedgekeurd beleid.  

Zoals een beveiligingsingenieur terecht zei: “Vertrouwen op het internet is niet langer iets dat je instelt en vergeet.” 

Voordat we ingaan op de belangrijkste details van dit beleid, moeten we eerst het doel van het verkorten van de levensduur van certificaten bespreken.  

Waarom wordt een kortere certificaatlevensduur verkozen? 

Certificaten met een kortere geldigheidsduur verkleinen de kans voor aanvallers om een ​​gecompromitteerde sleutel te misbruiken. Als een certificaat vandaag wordt gestolen, zal het zichzelf sneller vernietigen, waardoor er weinig ruimte is voor misbruik. Als een TLS-certificaat vandaag wordt gecompromitteerd, eindigt het misbruik ervan binnen enkele weken, niet binnen enkele maanden. U hoeft niet langer te vertrouwen op verouderde intrekkingssystemen, zoals CRL's, om het te markeren. 

Laten we het opsplitsen in de onderstaande punten: 

1. Verminderd risicovenster

   Een kortere geldigheidsduur van certificaten beperkt de tijd waarin een gecompromitteerd of verkeerd uitgegeven certificaat kan worden misbruikt aanzienlijk. Of het nu gaat om een ​​gelekte privésleutel of een frauduleus certificaat, de schade blijft beperkt tot een veel kleiner tijdsbestek, waardoor de impact op de beveiliging op de lange termijn tot een minimum wordt beperkt.

2. Veiligheid vereist wendbaarheid

   Wanneer de levensduur van certificaten korter is, wordt het gemakkelijker om over te stappen op nieuwe beveiligingsverbeteringen, zoals verbeterde cryptografische algoritmen of gepatchte configuraties. Simpel gezegd: je kunt de toekomst niet verdedigen met de encryptie van gisteren.

3. Stimuleert automatisering

   Handmatige certificaatverlenging is niet schaalbaar wanneer certificaten elke 47 of 90 dagen verlopen. Kortere levensduur dwingt organisaties tot de implementatie van geautomatiseerde Certificate Lifecycle Management (CLM)-oplossingen, waardoor menselijke fouten worden verminderd en tijdige certificaatcyclusbewerkingen zoals uitgifte, verlenging en intrekking worden gegarandeerd.

4. Toekomstbestendige beveiliging

   Met frequentere hernieuwingen kunnen organisaties snel reageren op veranderende normen (zoals post-kwantumcryptografie) of opkomende nalevingsvereisten. Kortlopende certificaten creëren een natuurlijke vernieuwingscyclus die cryptografische flexibiliteit ondersteunt.

Belangrijk aspect van de geldigheid van 47 dagen

Apple's roadmap zorgt er niet voor dat de sector op korte termijn in chaos vervalt. In plaats daarvan biedt het een gefaseerde, strategische reductie van de geldigheid van TLS-certificaten, waardoor organisaties tijd krijgen om zich aan te passen en tegelijkertijd worden aangemoedigd om automatisering en moderne beveiligingspraktijken te implementeren. 

De tijdlijn verloopt als volgt: 

• Maart 2026 → Certificaatlevensduur beperkt tot 200 dagen.
• Maart 2027 → Verder teruggebracht naar 100 dagen.
• Maart 2029 → Beperkt tot slechts 47 dagen.

Maar de transformatie stopt daar niet. 

Domain Control Validation (DCV) is het mechanisme dat wordt gebruikt om domeineigendom te bewijzen, en het wordt ook steeds strenger. Door September 2027 de DCV-hergebruikperiode zal worden ingekort tot 10 dagenDit betekent dat systemen niet langer een domein één keer hoeven te valideren en die validatie vervolgens wekenlang moeten herhalen, maar dat ze het eigendom elke tien dagen opnieuw moeten bevestigen voor nieuwe certificaatuitgiften. 

Voor degenen die Organisatievalidatie (OV) gebruiken of Extended Validation (EV)-certificaten, is er nog een belangrijke update. Hergebruik van gegevens over identiteitsvalidatie, wat verwijst naar het hergebruik van eerder geverifieerde organisatiegegevens (zoals de officiële naam, het registratienummer, het adres en andere identiteitskenmerken van uw bedrijf) tijdens de uitgifte van OV- en EV-certificaten, wordt ook beperkt: 

• Certificaten uitgegeven op of vóór 14 maart 2026: hergebruik toegestaan ​​gedurende 825 dagen
• Certificaten uitgegeven op of na 15 maart 2026: hergebruik is slechts 398 dagen toegestaan

Dit betekent dat OV/EV-gebruikers hun organisatievalidatie elke 398 dagen opnieuw moeten uitvoeren, wat een nieuwe laag van voortdurende naleving toevoegt. 

Kortom, dit is meer dan alleen een verandering in cijfers. Het is een fundamentele reset van de manier waarop digitaal vertrouwen op internet wordt verleend, gevalideerd en onderhouden. 

Welke impact heeft dit op uw organisatie? 

Deze evolutie plaatst organisaties op een kruispunt. Enerzijds belooft het betere beveiliging, anderzijds vraagt ​​het om snelheid, automatisering en nieuwe workflows. 

Dit is wat er verandert en waarom dat belangrijk is. 

• Verhoogde vernieuwingsfrequentie

  TLS-certificaten zijn niet langer dan een jaar geldig. Vanaf 2029 verlopen ze elke 47 dagen. Dit verkort de tijd die aanvallers hebben om misbruik te maken van een gestolen of misbruikt certificaat aanzienlijk. Maar het betekent ook dat uw verlengingsproces strak en foutloos moet zijn; er is geen ruimte voor vertraging.

• OV/EV-revalidatie elke 398 dagen

  Vanwege goedgekeurde wijzigingen in het hergebruik van validatiegegevens moeten organisaties die OV- of EV-certificaten gebruiken, vanaf 15 maart 2026 elke 398 dagen de organisatievalidatie opnieuw uitvoeren. Dit brengt administratieve overhead met zich mee die moet worden bijgehouden en geautomatiseerd, anders bestaat het risico op vertragingen en mislukte uitgiftes.

• Regelmatige DCV-controles

  Domain Control Validation (DCV), waarmee het domeineigendom wordt geverifieerd, moet elke 10 dagen worden uitgevoerd. Dit zorgt ervoor dat certificaten alleen worden uitgegeven aan degenen die daadwerkelijk eigenaar zijn van het domein, wat een essentiële beveiligingslaag toevoegt. De overhead die dit handmatig doet, is echter vermoeiend, vooral voor organisaties die honderden of duizenden domeinen beheren.

• Handmatige processen zijn niet schaalbaar

  Vertrouwen op spreadsheets, agendaherinneringen of een paar teamleden om vervaldata en hervalidaties bij te houden is niet duurzaam. In deze omgeving met hoge frequentie is handmatig certificaatbeheer een last, geen strategie.

• Risico op uitval neemt toe

  Certificaten zijn niet alleen voor websites; ze beveiligen API's, microservices, VPN's, mobiele apps en meer. Een gemiste verlenging of mislukte DCV kan ertoe leiden dat bedrijfskritische services uitvallen. Voor bedrijven kan dit leiden tot omzetverlies, geschonden vertrouwen en reputatieschade.

Digitaal vertrouwen is nu gekoppeld aan wendbaarheid. De tijd van 'instellen en vergeten' is voorbij. Organisaties moeten evolueren van statisch certificaatbeheer naar geautomatiseerde, dynamische systemen die gelijke tred kunnen houden met moderne bedreigingen. 

Hoe kunnen organisaties zich voorbereiden op de overstap naar kortere levensduur van TLS-certificaten?  

De overstap naar 47 dagen levensduur van het certificaat is niet zomaar een beleidswijziging, maar een fundamentele verandering in de manier waarop digitaal vertrouwen wordt beheerd. En hoewel 2029 misschien nog ver weg lijkt, is het nu tijd om actie te ondernemen. Organisaties die zich vandaag al aanpassen, zullen morgen niet in de problemen komen. 

Het gaat er niet om dat je klaar bent voor 2029, maar dat je bewijst dat je dit vandaag kunt, elke 47 dagen, zonder mankeren. 

Zo bereidt u zich voor op de overgang van 47 dagen naar een geldigheidsduur van uw certificaat: 

Een gecentraliseerde certificaatinventaris opbouwen

Je kunt niet automatiseren of beveiligen wat je niet kunt zien. Veel organisaties hebben tientallen, zo niet honderden, openbare TLS-certificaten verspreid over websites, API's, VPN's, load balancers en interne services. Een verlopen certificaat op een van deze locaties kan ernstige storingen veroorzaken, klanten treffen of de interne bedrijfsvoering verstoren.

Actieplan:

• Gebruik detectietools (bijvoorbeeld Qualys SSL Labs, Censys, CLM-platforms) om certificaten in uw hele netwerk te vinden. PKI milieu.
• Documentcertificaattypen (DV, OV, EV), uitgevende CA's, vervaldatums en verantwoordelijke eigenaren.
• Maak een gecentraliseerde inventaris van certificaten, een centraal overzicht waar uw teams naar kunnen verwijzen.

Implementeer automatisering van de levenscyclus van certificaten

Naarmate de levensduur van certificaten afneemt van 200 naar 100 naar 47 dagen, wordt handmatige verlenging onhoudbaar. Teams zullen overbelast raken door het elke paar weken bijhouden, verlengen, valideren en implementeren van certificaten.

Actieplan:

• Voor DV-certificaten: gebruik ACME-gebaseerde protocollen (zoals Let's Encrypt of EJBCA) om automatisch certificaten uit te geven, te verlengen en te implementeren.
• Voor SSL/TLS-certificaten: Investeer in Certificaatlevenscyclusbeheer (CLM) platforms (bijv. CertSecure van Encryption Consulting).
• Zorg ervoor dat de automatisering alle certificaatbewerkingen omvat, zoals het genereren van aanvragen, het maken en ondertekenen van CSR's, de implementatie van certificaten en de verlengings- of intrekkingscycli.
• Integreer CLM-tools met uw DevOps- of cloudinfrastructuur (bijv. Ansible, Terraform, Jenkins).

DCV- en validatieworkflows opnieuw bewerken

Tegenwoordig kunt u DCV (Domain Control Validation) langer dan 30 dagen hergebruiken. Vanaf september 2027 is dat nog maar 10 dagen, wat betekent dat certificaten die daarna worden uitgegeven, regelmatig een nieuwe domeinvalidatie nodig hebben.

Actieplan:

• Gebruik ACME-clients om DNS-gebaseerde of HTTP-gebaseerde DCV te automatiseren (via TXT-records of webservertokens).
• Domeinen vooraf valideren via uw CA om de real-time overhead te verminderen.
• Plan DCV-rotatie voor wildcard- en multi-SAN-certificaten.

Test nu kortere vernieuwingscycli

Wachten tot het 47-dagenbeleid van kracht is, kan tot verwarring leiden. Pilottests moeten nu al worden gesimuleerd voor de toekomstige omgeving, onder gecontroleerde omstandigheden, en worden afgestemd op uw workflows.

Actieplan:

• Stel de verlengingsintervallen in op 60 of 90 dagen (dit is al vereist door sommige CA's).
• Voer deze testworkflows van begin tot eind uit, inclusief uitgifte, validatie, implementatie en waarschuwingsafhandeling.
• Monitor het succespercentage van verlengingen, downtime door mislukte implementaties en vertragingen in de responstijd. Dit brengt knelpunten, verkeerde configuraties en dekkingstekorten aan het licht voordat u de klok van 47 dagen gebruikt.

Train cross-functionele teams

Certificaatlevenscyclusbeheer raakt meer dan alleen beveiligingsteams. Als DevOps zich er niet van bewust is, IT niet op één lijn zit of ontwikkelaars de automatiseringslimieten niet begrijpen, kan dit leiden tot interne frictie en uitval.

Actieplan:

• Geef workshops met DevOps-, beveiligings-, IT-infrastructuur- en complianceteams.
• Werk interne SOP's en onboardingmaterialen bij met nieuwe vervaltermijnen, DCV- en OV/EV-validatievereisten en protocollen voor noodverlenging.
• Stel certificaateigenaarschap of serviceleiders in om de verantwoordelijkheid voor belangrijke certificaten te behouden.

Beoordeel beleid, contracten en SLA's

Niet alle leveranciers, platforms of hostingproviders zijn klaar voor certificaatbeheer met een korte cyclus. Sommige load balancers, cloudproviders of SaaS-tools bieden mogelijk geen API-integratie of automatiseringsondersteuning.

Wat moeten we doen:

• Controleer uw externe tools en cloudplatformen: controleer/controleer hun automatisering van certificaatvernieuwing en -implementatie.
• Werk de SLA's van leveranciers bij zodat deze rekening houden met de certificaatvereisten van 47 dagen.
• Onderhandel over ondersteuning voor ACME-integraties of vraag automatiseringstools aan als onderdeel van uw beveiligingsverwachtingen.

De overstap naar TLS-certificaten met een geldigheidsduur van 47 dagen en OV/EV-validaties met een geldigheidsduur van 398 dagen is niet zomaar een upgrade; het is een nieuwe manier van werken. Om veilig en betrouwbaar te blijven in deze omgeving, moet uw organisatie automatisering omarmen, silo's tussen teams doorbreken en haar systemen nu voorbereiden. 

Hoe kan EC helpen? 

CertSecure Manager is een echt leveranciersonafhankelijke oplossing die de volledige levenscyclus van SSL/TLS-certificaten automatiseert, van uitgifte en detectie tot implementatie en certificaatbewerkingen met één klik, zoals verlenging, intrekking en CA-migratie. Het kan gemakkelijk veel taken verwerken. SSL/TLS-certificatenMet het gecentraliseerde dashboard van CertSecure Manager krijgt u realtime inzicht in al uw certificaten. Zo vermijdt u handmatige werkzaamheden en minimaliseert u het risico op onverwachte vervaldata.   

Bereid u vandaag nog voor op de toekomst van CLM door onze CLM-oplossing te ervaren: CertSecure Manager. Vraag vandaag nog een demo aan. 

Conclusie 

Het verkorten van de levensduur van TLS-certificaten naar 47 dagen is niet langer een theoretisch concept; het is een goedgekeurd, door de sector gesteund mandaat dat de manier waarop digitaal vertrouwen op internet wordt gehandhaafd, zal veranderen. 

Wat in 2020 begon met de handhaving van certificaten van 398 dagen door Apple, heeft zich inmiddels ontwikkeld tot een bredere, onomkeerbare trend, waarbij de nadruk ligt op flexibiliteit boven zelfgenoegzaamheid, automatisering boven handmatig toezicht en beveiliging door ontwerp boven traditie. 

Vanaf maart 2029 moeten alle openbare TLS-servers certificaten verloopt over minder dan twee maanden en tegen maart 2026 zal de herbruikbaarheid van OV/EV-validatie worden teruggebracht tot 398 dagen. Dit zijn niet alleen technische veranderingen, maar ook operationele vereisten. Organisaties die zich niet aanpassen, riskeren meer dan alleen ongemak: ze lopen het risico op service-uitval, verlies van klantvertrouwen en mogelijke schendingen van de nalevingsvereisten. 

In een wereld waarin vertrouwen elke 47 dagen verandert, zijn de winnaars degenen die zich elke dag voorbereiden.