Mozilla hanteert vanaf mei nieuwe regels voor certificaatautoriteiten
Mozilla hanteert vanaf 1 mei nieuwe regels voor certificaatautoriteiten waarmee het aantal gemaakte fouten bij het uitgeven van nieuwe certificaten moet worden teruggedrongen. In de Root Store Policy beschrijft Mozilla hoe het met certificaten en certificaatautoriteiten omgaat. Versie 2.7.1 van het beleid zal op 1 mei aanstaande van kracht worden.
Certificaatautoriteiten spelen, doordat ze tls-certificaten voor websites uitgeven, een belangrijke rol bij het vertrouwen op internet. Met de Root Store Policy wil Mozilla ervoor zorgen dat het beter toezicht op de compliance van certificaatautoriteiten kan houden, de werkwijze van certificaatautoriteiten wordt verbeterd en er minder fouten worden gemaakt bij het uitgeven van nieuwe tls-certificaten.
De nieuwe regels gaan onder andere over de verplichte auditrapporten die certificaatautoriteiten moeten aanleveren, de documentatie die bij incidenten moet worden verstrekt en welke methodes mogen worden gebruikt om aan te tonen dat de private key van de certificaatautoriteit is gecompromitteerd. Naast de regels die op 1 mei van kracht worden zal het vanaf 1 oktober 2021 verplicht zijn voor certificaatautoriteiten om domeinen en ip-adressen binnen 398 dagen voor de uitgifte van een certificaat te verifiëren.
"Veel van deze aanpassingen zullen zorgen voor updates en verbeteringen van de processen van certificaatautoriteiten en auditors", aldus Ben Wilson van Mozilla. "Het updaten van de Root Store Policy verbetert het security-ecosysteem van het internet en de kwaliteit van elke https-verbinding, en helpt dus om je informatie privé en veilig te houden."
Dit is ook het maximaal aantal dagen dat een SSL Certificaat geldig mag zijn (strict genomen maximaal 397).
Daarnaast geldt voor veel documentatie uit het validatie proces dat de gegevens maximaal 13 maanden oud mogen zijn (weer 397 in een schrikkeljaar)
Precies één jaar is onpraktisch omdat je de certificaten elk jaar in een vaste periode wilt updaten. Op de dag nauwkeurig kun je dat niet plannen vanwege weekenden of een weekje vrij. Zonder die maand speling moet je eigenlijk elk jaar weer eerder updaten en verschuift de update periode elk jaar een beetje.
Let's Encrypt heeft hier overigens geen enkele hinder van, omdat de certificaten die ze uitgeven direct ervoor een hostnaam/domeinnaam controle hebben gehad. En die certificaten zijn ook maar 90 dagen geldig. Wat betreft de tijdvakken betreft zitten ze (heel) ruim binnen de marges die Mozilla aangeeft.
In het verleden zijn er CA's geweest die bij een bepaalde domeinnaam controleerden of de informatie klopte, wat op dat moment dan het geval was. Maar die controle vervolgens meer dan anderhalf jaar later (bijvoorbeeld) als rechtvaardiging gebruikten om een certificaat uit te geven, terwijl de gegevens van het betreffende domein in de tussentijd waren gewijzigd. De "controle" was dus eigenlijk verlopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.