Vanaf 2029 mogen TLS- en SSL-certificaten nog maximaal 47 dagen geldig zijn.

Dit is onderdeel van een gefaseerde aanpassing die de komende jaren wordt doorgevoerd om de beveiliging van internetverkeer te verbeteren. Waar certificaten nu nog tot 398 dagen geldig zijn, wordt deze termijn stapsgewijs ingekort.

De eerste wijziging gaat in op 15 maart 2026: vanaf die datum mogen nieuwe certificaten nog maximaal 200 dagen geldig zijn. Een jaar later, op 15 maart 2027, wordt deze periode gehalveerd tot 100 dagen. Uiteindelijk, op 15 maart 2029, wordt de maximale geldigheidsduur verder teruggebracht naar slechts 47 dagen. Tegelijkertijd mag de geldigheid van de zogeheten domain control validation (dcv), waarmee wordt vastgesteld dat een aanvrager zeggenschap heeft over een domein, nog maar 10 dagen bedragen.

De maatregel is het resultaat van een stemming binnen de industrie, waarbij grote spelers zoals Google, Apple, Microsoft, Amazon, Mozilla, Visa, DigiCert, GlobalSign en anderen zich unaniem achter het voorstel schaarden. Ook certificaatautoriteiten als Sectigo, SSL.com, SwissSign en D-Trust steunden het besluit.

Het inkorten van de geldigheidsduur moet bijdragen aan een hogere veiligheid van digitale communicatie. Certificaten maken gebruik van cryptografische algoritmes die na verloop van tijd kwetsbaar kunnen worden. Door certificaten vaker te vervangen, wordt sneller overgestapt naar veiligere algoritmes en wordt voorkomen dat verouderde certificaten met zwakke beveiliging jarenlang in gebruik blijven. Bovendien beperkt het kortere verloop de risico’s van datalekken of compromittering bij certificaatverstrekkers, en verkleint het de impact van mogelijke man-in-the-middleaanvallen.

Beveiliging van online transacties en domeinidentiteiten

Transport Layer Security (TLS)-certificaten, vaak nog aangeduid met hun oudere naam Secure Sockets Layer (SSL), vormen een cruciale beveiligingslaag voor internetverkeer. Deze technologie zorgt ervoor dat communicatie tussen een webbrowser en een webserver wordt versleuteld, zodat gegevens privé blijven en beschermd zijn tegen afluisteren of manipulatie. TLS is tegenwoordig de wereldwijde standaard voor veilige online interacties, zoals betalingen, aanmeldingen en het uitwisselen van persoonlijke gegevens.

Elke keer dat u een website bezoekt die is beveiligd met TLS, wordt er vrijwel direct op de achtergrond een proces gestart dat bekendstaat als de TLS/SSL-handshake. Tijdens deze handshake wordt er een beveiligde verbinding tot stand gebracht tussen uw webbrowser (de client) en de server van de website. U merkt hier als gebruiker niets van, maar deze procedure garandeert dat de gegevens die u verzendt, veilig en vertrouwelijk blijven.

Websites die gebruikmaken van TLS/SSL zijn herkenbaar aan het voorvoegsel HTTPS in de URL en het kleine hangslotje in de adresbalk van uw browser. Deze elementen geven aan dat de verbinding is beveiligd en dat het TLS-certificaat geldig is. Behalve dat het certificaat de gegevensoverdracht versleutelt, vervult het nog een andere belangrijke functie: het verifieert de identiteit van de website. Zo weet u zeker dat u met de echte eigenaar van de website communiceert, en niet met een oplichter die zich voordoet als een betrouwbare partij.

De TLS/SSL-handshake: hoe het werkt

Een TLS-certificaat bestaat uit een cryptografisch sleutelpaar: een openbare sleutel en een persoonlijke (private) sleutel. Deze twee sleutels werken samen om versleuteling mogelijk te maken.

Wanneer een webbrowser een beveiligde website opent, gebeurt er het volgende:

• De server stuurt zijn TLS-certificaat naar de browser, samen met zijn openbare sleutel. Dit certificaat bevat informatie over de domeinnaam, de organisatie erachter, en de geldigheidstermijn van het certificaat.

• De browser controleert of het certificaat is uitgegeven door een vertrouwde certificeringsinstantie (Certificate Authority, afgekort CA). Dit is een organisatie die geautoriseerd is om digitale certificaten uit te geven. De browser checkt ook of het certificaat nog geldig is en of het niet is ingetrokken.

• Als het certificaat wordt vertrouwd, genereert de browser een unieke sessiesleutel. Dit is een tijdelijke, symmetrische sleutel die uitsluitend voor deze sessie wordt gebruikt. De browser versleutelt deze sessiesleutel met de openbare sleutel van de server en stuurt deze terug.

• De server gebruikt zijn persoonlijke sleutel om de versleutelde sessiesleutel te ontsleutelen. Daarna stuurt de server een bevestiging terug, versleuteld met de sessiesleutel, waarmee hij aantoont dat hij de juiste sleutel bezit.

• Vanaf dat moment communiceren de browser en server via de gedeelde sessiesleutel. Alle gegevens die nu worden uitgewisseld – wachtwoorden, persoonsgegevens, betaalinformatie – worden versleuteld verzonden en zijn alleen leesbaar voor de betrokken partijen.

Deze versleuteling waarborgt niet alleen de vertrouwelijkheid van gegevens, maar ook de integriteit van de communicatie: het biedt bescherming tegen datamanipulatie tijdens verzending. Bovendien garandeert het proces dat de client daadwerkelijk met de bedoelde server communiceert – een belangrijke bescherming tegen phishing en man-in-the-middle-aanvallen.

Door gebruik te maken van TLS-certificaten kunnen websites dus niet alleen gevoelige informatie beschermen, maar ook het vertrouwen van gebruikers winnen door hun legitimiteit aan te tonen.

Door: Drifter