Behöver jag automatisera hanteringen av mina digitala certifikat redan nu?

Den 3 mars meddelade Google sin plan om att förkorta valideringstiden på TLS-certifikat från 398 dagar till 90 dagar. Denna förändring kommer innebära stora omställningar för alla företags hantering av digitala certifikat.

Det är inte många år sedan industrin tillät utfärdande av TLS certifikat med en livslängd på tre eller två år. Senast vi såg en liknande förändring inom industrin var 2020 då livslängden gick ner från två år till 398 dagar.

Det är nu Google som är först på bollen med att lämna in ett förslag till CA/B forumet (The Certification Authority Browser Forum) för att reducera livslängden från dagens 398 dagar ner till 90 dagar.

Viktigt att nämna här är att om Googles förslag till en kortare livslängd skulle bli nedröstat i CA/B-forumet, betyder det inte att Google inte skulle kunna genomföra förändringen ändå, vilket påverkar deras egen webb-läsare Chrome och samtliga browsers som baseras på ”Chromium” (Opera, Vivaldi, Microsoft Edge). Detta eftersom browsers själva kontrollerar sina egna root-programs kravställningar.  Om förslaget skulle röstas ner och Google fortfarande väljer att gå vidare med förändringen, skulle alla CA:er i praktiken behöva följa efter, och företag skulle behöva anpassa sig.

Ett exempel på liknande händelser är när Apple ville reducera livslängden från två år till 398 dagar. Det lades då inte fram som ett förslag utan meddelades bara att från x datum kommer enbart certifikat med en maxlängd på 398 dagar anses som ”trusted” (Källa). Detta tvingade hela industrin att följa efter och ettårs-certifikat blev därmed den nya standarden i nästintill samtliga webbläsare.

Varför vill man sänka livslängden ytterligare?

En kortvarigare livslängd uppmuntrar till automatisering av certifikatshantering som driver ekosystemet bort från tidkrävande och felbenägna utfärdandeprocesser. Dessa förändringar kommer möjliggöra snabbare antagande av nya säkerhetsfunktioner och best practices som krävs för att snabbt övergå till kvantresistenta algoritmer.

Så, är det dags att automatisera redan nu?

Kortare livslängd kommer innebära att bolag som fortfarande manuellt förnyar och installerar servercertifikat kommer få det betydligt tuffare. Ett arbete som utförts en gång per år kommer nu behöva utföras mer än fyra gånger per år och fyra gånger mer arbete för de berörda teamen.

Det är dags att redan nu se till att din organisation ligger steget före och upprätthåller säkerheten samt motverkar driftavbrott i kritiska system genom att t.ex. implementera ett omfattande Certificate Lifecycle Managemet system, gärna innan 90-dagars förändringen sker!

Dotkeeper hjälper gärna till med detta, kontakta oss så berättar vi gärna mer.