Nyt OV-tason SSL-varmenteita tehdään yleensä 1, 2 tai 3 vuodeksi. 1.3.2018 alkaen näitä voidaan tehdä vain 1 tai 2 vuodeksi. Alla olevassa artikkelissa on selitetty tarkemmin koko muutos.
Varmennetoimittajia hallinnoiva CA/Browser Forum on päättänyt yhtenäistää SSL/TLS-varmenteiden maksimivoimassaoloajan 825 päivään (noin 27 kuukauteen). Tämä muutos koskee kaikkia varmennetyyppejä (DV, OV, ja EV) ja tulee voimaan uusille 1.3.2018 jälkeen ostetuille varmenteille.
Entrust on jo muuttanut OV-varmenteiden osalta uudelleenverifiointiaikoja tätä muutosta silmällä pitäen. OV-varmenteiden osalta asiakastietojen ja domainien uudelleenverifiointi tehdään jatkossa 825 päivän välein, kun aiemmin sen on tehty kolmen vuoden välein. Olemme siis jatkossa useammin yhteydessä uudelleenverifioinnin merkeissä.
Muutoksen vaikutukset lyhyesti
- OV- ja DV-varmenteiden voimassaoloaika lyhenee 39 kuukaudesta 27 kuukauteen
- EV-varmenteiden voimassaoloaika muuttuu 825 päivään
- OV- ja DV-varmenteiden uudelleenverifiointiväli lyhenee 39 kuukaudesta 825 päivään
Miksi 825 päivää?
Alunperin varmenteiden voimassaoloaikaa ei oltu määritelty lainkaan. Vuonna 2012 CA/Browser Forum asetti voimassaolon maksimiajaksi 60 kuukautta ja samalla päätettiin, että vuoteen 2015 mennessä maksimiaika lyhenee 39 kuukauteen.
Tänä päivänä varmenteita tehdään 1, 2 tai 3 vuodeksi. 39 kuukauden voimassaoloaika mahdollisti kolmen vuoden varmenteiden uusinnan kolme kuukautta ennen tai jälkeen kolmen vuoden voimassaoloajan, jotta varmenteet eivät vanhene niin helposti.
825-sääntö lyhentää voimassaolo noin kahteen vuoteen ja mahdollistaa edelleen kolmen kuukauden päällekkäisyyden ja varmenteiden uusinnan. 825 päivää on myös helpommin mitattavissa kuin 39 tai 27 kuukautta.
Miksi muutos?
Varmenteiden voimassaoloaikojen muutos mahdollista varmenteiden muuttamisen useammin. Tietyntyyppiset varmenteet vanhenevat useammin ja aiheuttavat vähemmän haittaa SSL/TLS ekosysteemissä:
- vähentää vanhempaa kryptausta käyttävien varmenteiden määrää (esim. muutos 1024 -> 2048-bittiseen avaimeen tai muutos SHA-1 -> SHA-2)
- vähentää varmenteita, jotka eivät enää ole CA/Browser Forum Baseline vaatimusten mukaisia
- vähentää virheellisten ja väärien varmenteiden määrää
- eliminoi varmenteet, jotka on myönnetty vanhentuneiden verifiointi standardien mukaisesti.
CA/Browser Forum – Ballot 193 – 825-day Certificate Lifetimes: https://cabforum.org/2017/03/17/ballot-193-825-day-certificate-lifetimes/
Entrustin blogikirjoitus aiheesta: https://www.entrust.com/maximum-certificate-lifetime-drops-825-days-2018/.