Po 15. marcu se pripravlja sprememba veljavnosti izdanih javnih SSL/TLS certifikatov iz 398 dni na 200 dni, s ciljem 15. marec 2029, ko bi samo še veljaven 47 dni. S tem dejanjem naj bi se povečala varnost, povečal pa se bo glavobol vsem sistemskim administratorjem, ki bodo morali bolj pogosto menjevati certifikate na svojih strežnikih.
Ta odločitev je bila pravzaprav sprejeta že lani spomladi s ciljem priti leta 2029 do zmanjšanja na maksimalno 47 dni veljavnosti certifikata.
Časovnica
- do 15. marca 2026 maksimalna veljavnost certifikata 398 dni
- od 15. marca 2026 maksimalna veljavnost certifikata 200 dni
- od 15. marca 2027 maksimalna veljavnost certifikata 100 dni
- od 15. marca 2029 maksimalna veljavnost certifikata 47 dni
Poleg tega se bo čas, ko se lahko tudi po poteku veljavnosti obnovi domena, se zmanjša leta 2026 na 200 dni, leta 2027 na 100 dni in leta 2029 na 10 dni. Trenutno je obnova domene na voljo enako kot obnova certifikata na 398 dni.
Kako pa je s plačilom? To se ne spremeni, ker bo še vedno letna naročnina, tako da to ne bo vplivalo na povečanje cene.
Zakaj je pomembna nižja veljavnost certifikata?
Krajša veljavnost pomeni manjšo zmožnost zlorabe certifikata s strani drugih oseb. Primeri, ko so bili ukradeni certifikati in so bile z njimi podpisane aplikacije s škodljivo kodo, so pokazali, kako nevarno je, če se to zgodi. Dalj časa, ko je veljavnost certifikata, dalj časa je možna zloraba oz. prodaja na dark web. Hekerji imajo tako veliko časa, da izkoristijo ukradeni certifikat za phishing, MITM (man in the middile) in razširjanje škodljive kode.
S krajšim časom veljavnosti se tudi lahko preide na novejše in boljše varnostne standarde kot je bil npr. prehod iz sha-1 na sha-256. S tem se zavaruje pred ranljivostimi, ki so odkriti v starejših kriptografskih standardih.
Izziv za večje organizacije
Ročno nameščanje novih certifikatov predstavlja v organizacijah, kjer je veliko število serverjev, bolj kompleksen opravek, ki predstavlja predvsem veliko ur in če pomislim, da bo treba čez 3 leta vsakih 47 dni to početi, me kot sistemskega administratorja seveda zaboli glava.
Vsekakor tega ne bo več smiselno početi ročno, ampak bo potrebno imeti lifecycle management za pregled nad certifikati. Najprej je potrebno urediti seznam vseh mest, kjer so v uporabi certifikati in v kakšen namen – inventura certifikatov.
Izbere se naj orodje, ki bo omogočalo fleksibilno in avtomatično menjavo certifikatov javnih in zasebnih certifikatov ne glede na namen uporabe v več domenskem in hibridnem okolju in bo možen nadzor nad uporabo, pregled veljavnosti itd.
S tem se zmanjša tudi riziko, da je kakšen wildcard certifikat lahko dosegljiv na enem od serverjev.
Primer Letsencrypt
Letsencrypt je eden od najbolj priljubljenih brezplačnih izdajateljev certifikatov, ki trenutno izdajajo certifikate z veljavnostjo 90 dni, od 10. februarja 2027 na 64 dni in v letu 2028 bodo od 16. februarja zmanjšali na 45 dni. Njihovi uporabniki imamo urejeno avtomatično obnovo.
Zaključek
Vse gre v čim večjo avtomatizacijo in menjava certifikatov prav gotovo sodi sem. Ali se odločimo za orodje, kjer je že veliko avtomatiziranih krogotokov ali pa sami uredijo skripte, ki uredijo avtomatično menjavo, sistemske organizatorje čaka kar nekaj dela, da bo večja varnost.
