Gå rett til innhold
Help
flag-norwegianNO
flag-norwegian
Norsk
flag-british
Engelsk
Til ressurser for TLS-sertifikater

Fra 398 til 47 dager: Hvordan påvirker dette din virksomhet?

Mot kortere levetid på TLS-sertifikater.

I CA/Browser Forum pågår det nå en diskusjon om kortere levetid på TLS-sertifikater. Dette har vært et tema i lengre tid, ikke minst med Googles initiativ Moving forward, Together, hvor de sikter mot en 90 dagers levetid på TLS-sertifikater. Nå er diskusjonen drevet av et forslag Apple står bak, hvor levetiden foreslås til 47 dager.

endering i levetid på TLS-sertifikater fra 2025 til 2028
Slik er nåværende forslaget for hvordan levetiden på TLS-sertifikater skal reduseres i årene som kommer.

Plan for gradvis nedtrapping

Forslaget legger opp til en gradvis reduksjon i levetiden på TLS-sertifikater, slik at aktører får tid til å tilpasse seg endringene i et rimelig tempo. Reduksjonen fra dagens 398 dagers levetid er per i dag planlagt i tre trinn:

  • 15. mars 2026: Levetiden reduseres til 200 dager
  • 15. mars 2027: Levetiden reduseres til 100 dager
  • 15. mars 2028: Levetiden reduseres til 47 dager

I forslaget ligger det også en reduksjon i tiden en domenevalidering kan gjenbrukes:

  • 15. mars 2028: Gjenbrukstiden for domenevalidering reduseres til 10 dager

Argumenter for kortere levetid

Forslagstillerne argumenterer for kortere levetid med: :

  • Redusert risiko for feilaktige data
    Sertifikatene inneholder data som var gyldige på utstedelsestidspunktet, men dette kan endres over tid. Kortere levetid gir høyere tillit til sertifikatene, da sannsynligheten for feil reduseres.
  • Redusert risiko knyttet til domeneovertakelse og nøkkellekkasjer
    Forskning viser at lange levetider øker risikoen for at uvedkommende får kontroll over domener eller kryptografiske nøkler. En studie utført av Amanuensis Zane Ma ved Oregon State University m.fl. dokumenterer at kortere sertifikatløpetid reduserer risikoen betydelig.
  • Raskere fjerning av feilutstedte sertifikater
    Sertifikatutstedere kan utstede sertifikater på feil grunnlag. Kortere levetid bidrar til raskere utskifting av slike sertifikater fra økosystemet.
  • Effektivisering av sikkerhetsoppdateringer
    Kryptografiske algoritmer kan svekkes over tid, og sårbarheter (som Heartbleed) kan kreve raske utskiftninger. Kortere levetid reduserer risikoen for at slike sårbarheter får store konsekvenser.
  • Styrket automatisering av sertifikathåndtering
    Med kortere levetid blir automatisering nødvendig. Dette gjør WebPKI-økosystemet mer robust.

Motargumenter og utfordringer

Det er er også flere innvendinger mot forslaget. Noe av det som kan nevnes er:

  • Praktiske utfordringer med 47 dagers levetid
    Å gå fra 100 til 47 dager vil kreve at brukere bytter sertifikater to ganger i kvartalet. Dette vil gi økt ressursbruk både i tid og penger for virksomheter som ikke er over på automatiserte løsninger.
  • Kvantisering av risiko og kostnader
    Det er vanskelig å kvantifisere effekten av kortere levetid på WebPKI-økosystemet. Forskningen som brukes som argument, viser riktignok at redusert levetid reduserer risikoen, men hvordan dette veier opp mot økte driftskostnader er uklart.
  • Forslag om å stoppe på 100 dager
    Et motforslag foreslår å stoppe ved 100 dager og gi økosystemet lengre tid (til 2030) for å tilpasse seg. Foreløpig har dette forslaget fått lite støtte.

Bransjeutfordringer og fremtidige konsekvenser

Den største utfordringen er at alle virksomheter ikke vil klare å automatisere sine løsninger i tide. Særlig sektorer med legacy-systemer, som helsevesenet, vil ha vanskeligheter med hyppige sertifikatfornyelser. Noe kan erstattes med privat PKI, men dette vil ta tid.

Det argumenteres ofte for at kortere levetid kan være et insentiv til å fremskynde automatisering, men realiteten er mer kompleks.

En ytterligere reduksjon i levetid vil også legge press på tilhørende økosystemer, som CT-loggsystemet. Dette vil trolig være håndterbart, men krever koordinert innsats fra alle involverte aktører.

Veien videre

Det er ingen tvil om at kortere levetid på TLS-sertifikater vil redusere risikoen for feil og misbruk i WebPKI-økosystemet. Mange aktører peker på dette som en positiv utvikling. Samtidig vil implementeringen kreve betydelig innsats fra nettleserleverandører, sertifikatutstedere, operatører av CT-logger og brukere av sertifikater.

Det blir en utfordring å sikre at alle involverte parter forstår og er forberedt på endringene. For mange virksomheter vil overgangen til kortere levetid være en betydelig operasjonell byrde, spesielt dersom automatisering ikke er på plass i tide.

Vi anbefaler at du setter deg inn i de foreslåtte endringene og vurderer hvordan din virksomhet kan bli påvirket. Buypass vil følge utviklingen tett, utvikle våre produkter og løsninger for å håndtere kravene og bidra til å spre kunnskap og tips i markedet.