Apple beperkt geldigheid webcertificaten tot 1 jaar

Vanaf 1 september gaat Apple de geldigheid van SSL- en TLS-certificaten beperken tot 1 jaar. Ook Mozilla en Google gaan dit doen. Websites die niet op tijd over een vernieuwd certificaat beschikken zijn vanaf dat moment niet meer te bezoeken.

Kortere geldigheid voor webcertificaten

SSL/TLS-certificaten die op of na 1 september 2020 zijn uitgegeven, hebben in de Safari-browser nog maar een geldigheid van 398 dagen. Dit staat gelijk aan 365 dagen plus de extra coulancetijd die je krijgt om je certificaat te vernieuwen. Apple noemt als reden dat ze continu bezig zijn om de veiligheid op het web te verbeteren. De maatregel treft alle platformen waarop Apple actief is, inclusief iPhone, iPad, Mac, Apple Watch en Apple TV. Apple waarschuwde er eerder dit jaar al voor:

This change will affect only TLS server certificates issued from the Root CAs preinstalled with iOS, iPadOS, macOS, watchOS, and tvOS. Additionally, this change will affect only TLS server certificates issued on or after September 1, 2020; any certificates issued prior to that date will not be affected by this change.


De maatregel gaat op 1 september meteen in en geldt dus alleen voor de certificatie die op of na deze datum zijn uitgegeven. De verbinding met TLS-servers die niet over de juiste certificaten beschikken zal dan worden geweigerd. Ook Google (Chrome) en Mozilla (Firefox) volgen het voorbeeld van Apple en beperken de geldigheid van certificaten tot 398 dagen. De autoriteiten die certificaten uitbrengen zullen aanpassingen moeten doen, waaronder marktleider IdenTrust (52% van alle SSL-certifcaten) en DigiCert (20% marktaandeel). Zij zijn niet blij met een aanpassing: “Waarom heeft Apple besloten om eenzijdig een kortere levensduur voor certificaten in te voeren? Hun woordvoerder zegt dat het is om gebruikers te beschermen.” De kortere levensduur is inderdaad veiliger, omdat kwetsbaarheden korter actief kunnen zijn.

https, web page, internet

Maar de autoriteiten vinden dat het alleen maar extra werk oplevert voor hun klanten, de beheerders van websites. Zij worden met zachte hand richting een geautomatiseerde oplossing geduwd. Een kortere geldigheid is op zich niet nieuw. Aanbieder Let’s Encrypt biedt zelfs certificaten met een levensduur van 90 dagen aan en adviseert klanten om elke 60 dagen hun certificaat te vernieuwen. In zo’n geval wil je dat niet telkens meer handmatig doen. WordPress-gebruikers kunnen plugins gebruiken om dit te automatiseren, zoals SSL Zen of WP Encryption.

Revisiegeschiedenis:

  • 2020 - 19 augustus: Aangepast dat de nieuwe geldigheidsduur alleen geldt voor certificaten die op of na 1 september 2020 zijn aangeschaft.

Reacties: 2 reacties

Reacties zijn gesloten voor dit artikel.