Apple tager føringen med at begrænse varigheden af SSL

25 februar 2020

Apple vil begrænse den tilladte gyldighed af SSL certifikater til højst 13 måneder. Fra 1. september 2020 understøttes certifikater med en varighed på mere end 13 måneder ikke længere i Safari browseren. Det er sandsynligt, at andre browsere også vil begynde at anvende denne foranstaltning, på trods af at et forslag til en industriændring for dette blev forkastet sidste år.

Hvad er konsekvensen?

Fra 1. september 2020 vil SSL certifikater med en gyldighedsperiode længere end 398 dage ikke længere have tillid i Safari, hvis certifikaterne blev udstedt den 1. september 2020 eller senere. Certifikater med en længere gyldighed, der blev udstedt før denne dato, vil fortsæt understøttes i deres levetid. Denne ændring gælder kun SSL certifikater i Safari, ikke klient- eller kodesigneringscertifikater. Safari er den første browser, der implementerer denne ændring, og er den mest anvendte browser efter Chrome med en markedsandel på 18,2%. Chancerne er store, at andre browsere vil følge dette initiativ.

Hvad er grunden?

For et årti siden var certifikater med en gyldighed på op til 10 år i omløb. I de senere år er dette tidsrum blevet forkortet flere gange til det nuværende maksimum på 27 måneder. I 2019 forelagde Google et nyt forslag til en yderligere begrænsning til 1 år. I september 2019 stemte et flertal af medlemmerne af CA/Browser Forumet imod dette, hvilket annullerede øjeblikket ændringen. Men fordi der også er mange fortalere, er der en chance for, at varigheden vil blive begrænset i hele branchen på et tidspunkt. Foruden Apple har Logius, som manager af de hollandske PKIoverheid-certifikater, allerede implementeret grænsen til 1 år fra 1. november 2019.

CA/Browser forumet (Certification Authority Browser Forum) består af de fleste CA'er og browsere og sætter standarder og retningslinjer, der overvåger sikkerheden ved SSL certifikater. De kontrollerer sikkerhedstrusler som brugen af ​​interne domæner og forældede krypteringsmetoder. De hævder, at med certifikater med lang varighed er chancen for misbrug og forældede teknikker større. Af denne grund var varigheden allerede begrænset til maksimalt 39 måneder i februar 2015 og i starten af ​​2018 til 27 måneder. Desuden blev der oprindeligt foreslået 13 måneder, hvorefter der blev valgt et kompromis på to år.

Hvad siger modstanderne?

Den 9. september 2019 stemte CA/Browser Forumet imod afstemning SC22, forslaget om en yderligere begrænsning af gyldigheden af ​​SSL certifikater til 13 måneder. Af de 32 stemmeberettigede CA'er stemte 11 partier for og 19 imod, hvor hovedmodargumentet var den større administrative byrde for organisationer, der bruger SSL certifikater. For organisationer, der bruger mange SSL certifikater og som ikke har automatiseret administrationen, betyder en halvering af levetiden en fordobling af den krævede administrative tid. Undersøgelser fra forskellige CA'er viser, at mindst tre fjerdedele af de store virksomheder endnu ikke har automatiseret deres certifikatstyring, og ved mindre organisationer er den andel endnu større.

Hvad siger fortalerne?

Logius, PKIoverheids administrationsorganisation, stemte for og gennemførte ændringen uanset resultatet af afstemningen den 1. november 2019, fordi den ser mere sikkerhed ved hyppigere kontrol af dataene i certifikaterne. Sectigo stemte også for det og talte for den stigende brug af automatiseret certifikatstyring, hvilket undgår en større administrativ indsats. Alle browsere i CA/Browser Forumet stemte også for forslaget.