TLS-sertifikater

Tiden for å kjøpe langvarige websertifikater er over

Fra 1. september er 398 dager den maksimale gyldighetstiden for nye TLS-sertifikater.

Tiden har løpt ut for dem som ønsker TLS-sertifikater med to års gyldighetstid.
Tiden har løpt ut for dem som ønsker TLS-sertifikater med to års gyldighetstid. (Foto: Noor Younis/Unsplash)

Fra 1. september er 398 dager den maksimale gyldighetstiden for nye TLS-sertifikater.

Mandag den 31. august var siste mulighet for nettsteder å få utstedt TLS-sertifikater med mer enn 398 dagers gyldighetstid, noe som tilsvarer 13 måneder. Fram til nå har det vært mulig å få utstedt sertifikater med 825 dager varighet. Disse sertifikatene kan brukes fram til utløpsdatoen.

Nettleserleverandørenes beslutning

Selv om forslag om en slik endring har blitt diskutert tidligere, var det en ensidig beslutning fra Apple i februar i år (for abonnenter) som gjorde utslaget. Selskapet kunngjorde da at nettleseren Safari fra 1. september 2020 ikke lenger ville støtte nye sertifikater med levetid utover 398 dager. 

Senere har selskapet fått støtte fra både Google og Mozilla sluttet seg til dette. Sertifikatutstederne har tidligere blokkert et lignende forslag, men nå har alle forpliktet seg til ikke å tilby TLS-sertifikater med mer enn 398 dager gyldighetsperiode. 

Går man ti år tilbake i tid, var det mulig å få utstedt SSL- og TLS-sertifikater med opptil ti års gyldighetsperiode. Siden da har maksimumsperioden for nye sertifikater blitt redusert flere ganger. 

Saken fortsetter under bildet.

Chrome-advarsel om utløpt TLS-sertifikat på testnettstedet badssl.com.
Chrome-advarsel om utløpt TLS-sertifikat på testnettstedet badssl.com. Skjermbilde: Digi.no

 

Begrunnes med sikkerhet

Begrunnelsene for å redusere perioden fra i praksis to til ett år, handler alle om sikkerhet. 

Det ene er at det i løpet av gyldighetsperioden kan bli oppdaget sårbarheter og svakheter som gjør at krypteringsteknologiene som sertifikatene er signert med, ikke lenger kan regnes som sikker. Da anses det som viktig at disse teknologiene fases ut så raskt som mulig, og kortere gyldighetstid på sertifikatene sikrer dette. 

En annen faktor som trekkes fram, er at lang levetid på krypteringsnøklene øker faren for kompromittering, noe som kan gi en angriper mulighet til å avlytte kommunikasjon eller å tilby et falskt nettsted. Nøklene skiftes ut når sertifikatet byttes. 

En tredje faktor er TLS-sertifikat som fortsatt at er gyldig etter at et domene har fått ny eier. Da kan den tidligere eieren av domenet fortsatt ha tilgang til et gyldig sertifikat og bruke dette til å avlytte eller manipulere TLS-forbindelsen. Med redusert gyldighetstid for sertifikatene reduseres også tiden sertifikatene kan misbrukes på denne måten.

Merarbeid

For nettsteder som til nå har benyttet sertifikater med to års gyldighetstid, betyr dette i praksis at de må fornye sertifikatene oftere i framtiden enn de har gjort til nå. Spesielt for virksomheter med som eier mange ulike domener, kan dette føre til betydelig merarbeid dersom det ikke er tatt i bruk systemer som automatiserer fornyelsen. 

Blant annet Let's Encrypt og norske Buypass tilbyr gratis TLS-sertifikater som kan automatisk fornyes med verktøy som støtter ACME-protokollen.

Les også

Kommentarer (3)

Kommentarer (3)
Til toppen