Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Certificaat Levenscyclusbeheer

Inzicht in Chrome's Root Program Policy v1.6 en de implicaties daarvan in 2026 

Posted byAmit Rastogi 5 Minuten
Inzicht in Chrome's Root Program Policy v1.6 en de implicaties daarvan in 2026
Inhoudsopgave

In het voortdurend veranderende landschap van internetbeveiliging zijn er maar weinig veranderingen die de potentie hebben om fundamentele werkwijzen zo ingrijpend te veranderen als de update van het rootprogrammabeleid van Google Chrome. Tegen medio 2026 zal Chrome een aanzienlijke verschuiving doorvoeren in de manier waarop SSL/TLS-certificaten Als deze certificaten worden gebruikt, zal het systeem met name geen vertrouwen meer hebben in openbare certificaten die TLS-clientauthenticatie ondersteunen. Als uw organisatie afhankelijk is van openbare certificaten, zal het systeem geen vertrouwen meer hebben in openbare certificaten. certificeringsinstanties (CA's) Voor de authenticatie van gebruikers, apparaten of applicaties vereist deze wijziging onmiddellijke aandacht.

Laten we eens nader bekijken wat dit betekent, waarom het gebeurt en hoe je je kunt voorbereiden. 

De kern van de verandering: Chrome Root Program Policy v1.6

De kern van deze transitie wordt gevormd door Chrome Root Program Policy v1.6, die voorschrijft dat certificaathiërarchieën in de vertrouwensopslag van Chrome vanaf juni 2026 uitsluitend bestemd moeten zijn voor TLS-serverauthenticatie. 

  1. Dit betekent dat openbare certificeringsinstanties geen uitgifte meer mogen doen. certificaten Bevat zowel de id-kp-serverAuth als de id-kp-clientAuth Extended Key Usages (EKU's). Deze EKU's definiëren waarvoor een certificaat gebruikt kan worden: server- of clientauthenticatie, maar niet beide.

    Vanaf 15 juni 2026 zal Chrome alle openbare SSL/TLS-certificaten die de clientAuth EKU bevatten, niet meer vertrouwen.

  2. Certificaten die vóór deze datum zijn afgegeven, blijven geldig tot de vervaldatum, maar nieuwe certificaten worden niet meer geaccepteerd.

Waarom dit belangrijk is?

TLS-clientauthenticatie is een cruciaal mechanisme dat wordt gebruikt om de identiteit van clients, of het nu gebruikers, apparaten of applicaties zijn, te verifiëren wanneer ze verbinding maken met een server. Het is iets anders dan serverauthenticatie, wat de meeste mensen associëren met TLS. HTTPS

Clientauthenticatie wordt vaak gebruikt in: 

  • VPN-toegang: Controleren of de apparaten van medewerkers op afstand verbinding maken. 
  • Wi-Fi-integratie: Apparaten authenticeren zonder statische wachtwoorden. 
  • Mutual TLS (mTLS)Beveiliging van API-communicatie in microservices. 
  • Single sign-on (SSO)Certificaten inbedden in eindapparaten. 
  • DevOps-omgevingen: Het identificeren van workloads en containers. 

Veel organisaties hebben voor deze doeleinden, vaak onbewust, gebruikgemaakt van openbare CA's, omdat het handig en kosteneffectief is. Maar met het nieuwe beleid van Chrome is deze aanpak niet langer haalbaar. 

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Waarom gebeurt dit?

Deze stap maakt deel uit van een bredere trend in de sector richting specifieke PKI-hiërarchieënCertificaten voor meerdere doeleinden, die zowel voor server- als clientauthenticatie worden gebruikt, introduceren complexiteit en potentiële beveiligingsrisico's. Door deze gebruiksscenario's te scheiden, willen browsers zoals Chrome het volgende bereiken: 

  • Verbeter het certificaatbeheer. 
  • Versterk het vertrouwen in het publiek PKI
  • Verminder het risico op misbruik of verkeerde configuratie. 

Openbare certificeringsinstanties (CA's) zijn nooit ontworpen voor interne authenticatieprocessen. Ze zijn onderworpen aan externe audits, nalevingsvoorschriften en browserbeleid. Daardoor zijn ze ongeschikt voor de flexibiliteit en controle die vereist zijn in authenticatiescenario's voor klanten. 

De oplossing: overstappen op private CA's

Als uw organisatie openbare certificaten gebruikt voor clientauthenticatie, is de oplossing duidelijk: migreer naar een private certificeringsinstantie (CA). 

De voordelen van particuliere registeraccountants zijn onder andere: 

  • Aanpasbare certificaatprofielen. 
  • Volledige controle over uitgifte en intrekking. 
  • Geen afhankelijkheid van browservertrouwensarchieven. 
  • Ondersteuning voor protocollen zoals ACME, EST en SCEP. 

Deze verschuiving stelt organisaties in staat om authenticatieworkflows te ontwerpen die zijn afgestemd op hun behoeften, zonder gebonden te zijn aan de beperkingen van openbare certificeringsinstanties.

Vergeet Certificate Lifecycle Management (CLM) niet.

Migreren naar een private CA is slechts de eerste stap. Om uw infrastructuur echt toekomstbestendig te maken, hebt u robuuste oplossingen nodig. Certificaatlevenscyclusbeheer (CLM)

CLM-platformen helpen u bij: 

  • Ontdek en inventariseer alle certificaten. 
  • Automatiseer de uitgifte, verlenging en intrekking van vergunningen. 
  • Handhaaf beleid met betrekking tot sleutellengte, EKU's en vervaldatum. 
  • Voorkom storingen als gevolg van verlopen of verkeerd geconfigureerde certificaten. 

Naarmate de geldigheidsduur van certificaten korter wordt (sommige zijn nu nog maar zo kort als 47 dagen), handmatige tracking wordt onhoudbaar. CLM zorgt voor inzicht en controle over uw gehele omgeving. Encryption Consulting's CertSecure Manager Biedt vereenvoudigd certificaatlevenscyclusbeheer met automatisering, beveiliging en naadloze integratie in uw IT-ecosysteem. 

Wat u vervolgens moet doen

Hier is een praktisch stappenplan om je voor te bereiden op de deadline van Chrome in 2026:

  1. Controleer uw certificaatgebruik: Identificeer waar TLS-clientauthenticatie wordt gebruikt. Maakt u gebruik van openbare ACME-workflows zoals Let's Encrypt? Welke apparaten en services worden hierdoor beïnvloed? 
  2. Beoordeel uw risico: Bepaal welke certificaten worden beïnvloed en wanneer. Plan om ze te vervangen voordat ze verlopen of niet langer als betrouwbaar worden beschouwd. 
  3. Een privé-CA implementeren: Kies een oplossing die bij uw omgeving past: cloudgebaseerd, on-premise of hybride. Zorg ervoor dat deze automatisering en integratie met uw bestaande tools ondersteunt. 
  4. CLM implementeren: Gebruik een CLM-platform om de levenscyclus van certificaten te beheren, beleid af te dwingen en inzicht te behouden. 
  5. Informeer uw teams: Zorg ervoor dat IT, DevOpsEn de beveiligingsteams begrijpen de implicaties en zijn het eens over de migratiestrategie. 

          Certificaatbeheer

          Voorkom certificaatuitval, stroomlijn IT-activiteiten en verhoog uw flexibiliteit met onze oplossing voor certificaatbeheer.

          Boek een adviesgesprek

          Hoe kan Encryption Consulting u helpen? 

          Encryptie Consulting's CertSecure Manager Dit is een leveranciersneutrale oplossing voor certificaatlevenscyclusbeheer die de ontdekking, automatisering, inschrijving, beleidshandhaving en integraties centraliseert. Het voorkomt storingen met geautomatiseerde verlengingen, verbetert de naleving van regelgeving, stroomlijnt IT-activiteiten en verenigt het beheer van openbare en private CA's via één geautomatiseerd, schaalbaar platform. 

          Voor meer informatie over CertSecure Manager kunt u terecht op:

          CertSecure Manager

          Daarnaast helpt PKI-as-a-Service van Encryption Consulting uw organisatie bij het vereenvoudigen van PKI-implementatie met end-to-end certificaatuitgifte, geautomatiseerd levenscyclusbeheer, beleidshandhaving en naadloze naleving van industriële beveiligingsnormen. 

          Voor meer informatie over PKIaaS kunt u terecht op: 

          PKI-as-a-Service

          Voor meer informatie over onze producten en diensten kunt u terecht op onze website.  

          Encryptie Consulting

          Conclusie

          De update van het rootprogramma van Chrome is niet zomaar een technische aanpassing; het markeert een fundamentele verschuiving in de manier waarop digitale identiteit en vertrouwen op het internet worden beheerd. Hoewel het bestaande authenticatieprocessen kan verstoren, biedt het organisaties ook een uitgelezen kans om hun PKI-architectuur te moderniseren en een veiligere, schaalbare en veerkrachtigere basis te bouwen. 

          Als uw organisatie nog steeds openbare certificaten gebruikt voor clientauthenticatie, is het nu tijd om actie te ondernemen. De deadlines zijn vastgesteld, de handhaving is streng en de overstap van Chrome naar een openbare PKI die uitsluitend voor serverauthenticatie is bedoeld, maakt private CA's de enige duurzame weg voorwaarts. 

          Tegelijkertijd zorgen het toenemende aantal certificaten, de kortere geldigheidsduur van certificaten en de toenemende complexiteit van gedistribueerde omgevingen ervoor dat... Certificaatlevenscyclusbeheer (CLM) Essentieel, niet optioneel. Een robuuste CLM-oplossing voorkomt storingen, automatiseert verlengingen, waarborgt naleving en geeft organisaties volledig inzicht in en controle over hun cryptografische activa. 

          Ontdek onze

          Gerelateerde blogs

          Automatisering van de levenscyclus van certificaten

          Brandstof op bij handmatige tracking? Tank bij met automatisering.

          May 12, 2026

          ACME-clients op Linux

          ACME-clients op Linux voor eenvoudig SSL/TLS-beheer

          May 8, 2026

          Inzicht in Active Directory-certificaatservices

          Inzicht in Active Directory-certificaatservicecontainers

          27 april 2026

          Bestudeer

          Meer onderwerpen