Certifikater får kortere levetid

Artiklen blev oprindeligt publiceret den 27/8/2013

Browserne Chrome og Firefox vil i fremtiden ikke acceptere digitale certifikater med en levetid længere end fem år.

Certifikaterne bruges til at sikre, at en SSL/TLS-krypteret forbindelse går til den server, hvis navn står i browserens adressefelt. Certifikatets levetid stemples i det af den certifikat-autoritet (CA), der udsteder det.

Organisationen CA/Browser Forum, der samler udstedere og browserproducenter, har vedtaget et sæt retningslinjer for certifikater. De siger blandt andet, at et certifikat fremover højst må være gyldigt 60 måneder fra udstedelsesdatoen.

Den regel vil Google nu indføre i Chrome ved at lade browseren tjekke, om et certifikat overholder den. Hvis certifikatet har for lang levetid, vil browseren ikke have tillid til det.

Ændringen ventes indført i Chrome i løbet af første kvartal 2014.

Mozilla arbejder på en lignende ændring i Firefox.

CA/Browser Forum har også vedtaget, at certifikater, der udstedes efter 1. april 2015 højst må være gyldige i 39 måneder. Der kan dog gives dispensation.

Anbefaling
Virksomheder der bruger digitale certifikater bør sikre sig, at deres udsteder følger retningslinjerne fra CA/Browser Forum.

Links

• Deprecating support for long-lived certificates, indlæg fra Google
• Google, Mozilla Considering Limiting Certificate Validity to 60 Months, artikel fra Threatpost
• CA/Browser Forum: Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.1.5