Nieuws
image

Let's Encrypt lanceert tls-certificaten met levensduur van zes dagen

vrijdag 16 januari 2026, 16:54 door Redactie, 2 reacties

Certificaatautoriteit Let's Encrypt biedt vanaf nu ook tls-certificaten aan met een levensduur van zes dagen. Volgens Matthew McPherrin van het ISRG, de organisatie achter Let's Encrypt, verbeteren certificaten met een korte levensduur de veiligheid, omdat ze vaker validatie vereisen en minder afhankelijk zijn van "onbetrouwbare intrekmechanismes".

Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen. Daarnaast zijn ze ook minder afhankelijk van de methodes die nu worden gebruikt om gecompromitteerde of ongeldig uitgegeven certificaten in te trekken. "Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin.

Vooralsnog zijn de "short-lived" certificaten opt-in en moeten gebruikers van Let's Encrypt hier zelf voor kiezen. Gebruikers die het vernieuwingsproces van hun certificaten volledig hebben geautomatiseerd zouden volgens McPherrin eenvoudig naar de zesdaagse certificaten moeten kunnen overstappen. Onlangs maakte Let's Encrypt al bekend dat de standaard levensduur van certificaten die het uitgeeft wordt verkort van 90 naar 45 dagen. Dat staat gepland voor begin 2028.

Reacties (2)
Reageer met quote
Vandaag, 19:11 door Anoniem
"Helaas is het intrekken een onbetrouwbaar systeem, waardoor veel afhankelijke partijen kwetsbaar blijven totdat het certificaat verloopt", aldus McPherrin.
Mijns inziens was OCSP stapling een goede - hoewel niet perfecte - oplossing, waarbij de server zelf het bewijs presenteerde dat het certificaat nog (maximaal 7 dagen bij LE) geldig was.
https://en.wikipedia.org/wiki/OCSP_stapling
Helaas heeft LE dat zelf de nek omgedraaid.
Reageer met quote
Vandaag, 19:41 door Anoniem
De laatste keer dat ik de certificaten ging vernieuwen heb ik het over twee dagen moeten spreiden omdat DNS servers in-sync waren. Voor een wildcard cert. zijn twee hashes nodig en dan ook nog tegelijkertijd in een bepaalde volgorde.

Als het straks om de zes dagen moet dan geef ik het op.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Image