Let's Encrypt gaat levensduur tls-certificaten naar 45 dagen verkorten
Let's Encrypt gaat de levensduur van tls-certificaten verkorten naar standaard 45 dagen. Op dit moment zijn door Let's Encrypt uitgegeven tls-certificaten nog 90 dagen geldig. Via de certificaten wordt onder andere verkeer van en naar websites versleuteld. Ook andere certificaatautoriteiten gaan vanaf 2028 een levensduur van 45 dagen hanteren, aldus Matthew McPherrin, engineer van de Internet Security Research Group (ISRG), de nonprofit-organisatie achter Let's Encrypt.
De nieuwe levensduur is bepaald door het CA/Browser Forum, een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. "Het verkorten van hoelang certificaten geldig zijn helpt de veiligheid van het internet te verbeteren, door te beperken hoe ver een compromittering reikt en de technologie van het intrekken van certificaten efficiënter te maken."
De nieuwe levensduur wordt gefaseerd ingevoerd. Volgend jaar mei kan er al met de 45 dagen geldige certificaten worden getest. Vanaf 10 februari 2027 zal Let's Encrypt standaard een geldigheidsduur van 64 dagen hanteren. Een jaar later, vanaf 16 februari 2028, gaat de geldigheidsduur van 45 dagen in. Daarnaast zal Let's Encrypt ook de termijn beperken waarin certificaten voor een domein kunnen worden uitgegeven. Op dit moment wordt, nadat Let's Encrypt heeft vastgesteld dat de aanvrager van een certificaat ook de houder van het domein is, een termijn van 30 dagen gehanteerd. Dat zal vanaf 2028 nog maar 7 uur zijn.
Ik neem aan dat dit tijdelijk is en dat het bericht zometeen verbeterd her-geplaatst word?
Het systeem wat automatisch de https certificaten vervangt kan maanden lang besmet zijn met malware, zonder dat je het weet.
Het voordeel van langer geldige https certificaten is dat je er aan kan wennen. Zo had ik lang geleden de fingerprint van mijn bank gememoriseerd (of een deel daarvan). Het was jammer dat ze een nieuw certificaat kregen. If it ain't broken, don't fix it.
Want waarom zoek je deze weg als oplossing?
Als we praten over sites die malware aanbieden (gehackt of anders), die zijn toch met een week al weer uit de lucht en staan weer ergens anders. het word vooral voor websites gebruikt, dus wat is de meerwaarde om die tijd elke keer korter te maken ?
Het probleem zit hem er ook in dat vaak die websites die malware aan bieden met alleen die taak, wel zo opgezet zijn dat die volledig geautomatiseerd dit soort dingen doen en dus beter dit soort zaken op orde hebben dan gecompromiteerde websites.
De theoretische ondergrens is dat elke sessie met de website een nieuw certificaat krijgt.
Dat zou betekenen dat elke gebruiker van de website een uniek certificaat krijgt voorgeschoteld. Of dat veiliger is weet ik niet. Het is in ieder geval slecht voor de privacy van de gebruiker (want uniek certificaat voor die gebruiker, assepoester is snel gevonden aan de hand van haar unieke muiltje).
Anoniem 11:07
Als we praten over sites die malware aanbieden (gehackt of anders), die zijn toch met een week al weer uit de lucht en staan weer ergens anders. het word vooral voor websites gebruikt, dus wat is de meerwaarde om die tijd elke keer korter te maken ?
Het doel is ook niet malware sites.
Het doel is om het risico/exploit window waarin gelekte / gehijackte certificaten bruikbaar zijn korter te maken .
Certificate revocation heeft hetzelfde doel - maar dat wordt alleen gedaan wanneer je WEET dat het (secret deel van) het certificaat gelekt is .
(Of uit voorzorg als je senior systeembeheerder opstapt ofzo ).
En de load van "de hele wereld" die validiteit checked - en deels de exposure dat browsers op die manier een centraal punt vertellen welke sites ze bezoeken zijn allemaal nadelen van het check-validity on use model .
Het is erg analoog aan de argumentatie om passwords met een bepaalde regelmaat te wijzigen .
Maar itt tot passwords is er dus wel een volledig geautomatiseerd TLS cert update mechanisme .
Het probleem zit hem er ook in dat vaak die websites die malware aan bieden met alleen die taak, wel zo opgezet zijn dat die volledig geautomatiseerd dit soort dingen doen en dus beter dit soort zaken op orde hebben dan gecompromiteerde websites.
Dit is één van de vele blogs die de redenen bespreekt:
https://dev.to/cbartlett/6-day-certs-are-here-why-ssl-certificate-lengths-are-getting-shorter-2e46
Die begrijp ik niet. Als die termijn verstreken is, mag er dan geen certificaat voor dat domein worden uitgegeven?
Wat als er een griepgolf door Let's Encrypt waait waardoor de deadline van 7 uur niet meer gehaald wordt?
Is er door dit "grapje" niet meer donatiegeld nodig om de mankracht te betalen die al die aanvragen moeten controleren?
Die begrijp ik niet. Als die termijn verstreken is, mag er dan geen certificaat voor dat domein worden uitgegeven?
Als nu is vastgesteld dat de aanvrager legitiem is, kan deze aanvrager binnen 30 dagen een nieuw certificaat aanvragen zonder dat LE opnieuw controleert of deze aanvrager legitiem is. Dat wordt 7 uur.
Na deze 'deadline' wordt opnieuw gecontroleerd...
Aangezien deze controle automagisch gaat, hoef je niet bang te zijn voor griepgolven. ;-)
Wat ik wel weer interessant nieuws vind is:
https://letsencrypt.org/2025/12/02/from-90-to-45#making-automation-easier-with-a-new-dns-challenge-type
Die begrijp ik niet. Als die termijn verstreken is, mag er dan geen certificaat voor dat domein worden uitgegeven?
Wat als er een griepgolf door Let's Encrypt waait waardoor de deadline van 7 uur niet meer gehaald wordt?
Is er door dit "grapje" niet meer donatiegeld nodig om de mankracht te betalen die al die aanvragen moeten controleren?
Je hebt duidelijk _geen idee_ van de schaal van certificaten - en van automatisering. Ga dan geen rare complot of zakkenvul verklaringen verzinnen, maar zoek gewoon op hoe het werkt.
De uitgifte bij Let'sEncrypt (en typisch alle domain-validated certificaten issuers) is 100% geautomatiseerd .
Uit : https://letsencrypt.org/2025/01/30/scaling-rate-limits
340.000 per _uur_ . De staf is daar voor het monitoren van het serverpark, dat patchen, upgraden e.d.
NIET voor het handmatig controleren van 340.000 aanvragen /renewals per uur.
En het statement is wel duidelijk : de tijd tussen de (automatische) controle en het werkelijk uitgeven/mogen aanvragen van een certificaat voor het net gecontroleerde domein moet (natuurlijk) ook korter worden.
Dat gaat hand in hand met de reden voor het verkorten van de maximale levensduur van certificaten - zorgen dat een gelekt (of "aangevraagd door aanvaller tijdens moment waarop aanvaller controle over het domein had") certificaat niet lang bruikbaar is.
Het zijn hele belangrijke slotjes hoor. Daar niet van. Maar ik denk wel eens ga zelf maar websites maken voor je zoekmachines dan.
Ik kap ermee.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?