SSL/TLS-certificaatlevensduur wordt drastisch verkort tot 47 dagen

Het CA/Browser Forum heeft officieel besloten om de maximale levensduur van publiek vertrouwde SSL/TLS-certificaten drastisch te verkorten van 398 dagen naar slechts 47 dagen tegen maart 2029. Deze wijziging is ontwikkeld om de beveiliging van internetconnecties verder te verbeteren en vereist dat organisaties hun aanpak van certificaatbeheer fundamenteel herzien.

Waarom deze verandering?

SSL/TLS-certificaten zorgen ervoor dat communicatie tussen browsers en servers veilig en versleuteld plaatsvindt. Door de levensduur van certificaten aanzienlijk te verkorten, wordt het risico dat een gecompromitteerd certificaat langere tijd misbruikt kan worden beperkt. Daarnaast stimuleert deze wijziging organisaties om over te stappen op geautomatiseerd certificaatbeheer, omdat handmatige processen niet schaalbaar zijn bij de frequentere vernieuwingen.

Gefaseerde invoering van kortere geldigheidsperioden

De verkorting van de certificaattijd gebeurt in meerdere fasen, zodat organisaties tijd hebben om zich voor te bereiden:

• Tot 15 maart 2026: Maximaal 398 dagen geldig.

• Vanaf 15 maart 2026: Maximaal 200 dagen geldig.

• Vanaf 15 maart 2027: Maximaal 100 dagen geldig.

• Vanaf 15 maart 2029: Maximaal 47 dagen geldig.

Naast de certificaatlevensduur wordt ook de evens (DCV) sterk verkort. Tegen 2029 mag DCV-informatie slechts 10 dagen opnieuw worden gebruikt, wat betekent dat validatie steeds vaker opnieuw plaats moet vinden.

Impact voor organisaties

De nieuwe regels hebben ingrijpende effecten op hoe organisaties hun certificaten beheren:

• Frequentere verlengingen: Certificaten moeten gegenereerd en uitgerold worden tot acht keer per jaar tegen 2029, wat een enorme stijging betekent ten opzichte van de huidige praktijk.

• Automatisering wordt essentieel: Handmatige certificaatvernieuwing is niet langer haalbaar zonder aanzienlijke risico’s op fouten en serviceonderbrekingen.

• Meer operationele lasten zonder tooling: IT-teams die nog met spreadsheets en handmatige workflows werken lopen een verhoogd risico op outages of verlopen certificaten.

Voorbereiden op de nieuwe realiteit

Organisaties die nog niet zijn begonnen met geautomatiseerd certificaatbeheer moeten dit versneld oppakken. Enkele praktische stappen zijn:

• Inventariseer je certificaten: Zorg dat je een actueel overzicht hebt van alle SSL/TLS-certificaten in je infrastructuur.

• Implementeer een gecentraliseerde certificaatmanagementtool: Automatische discovery, monitoring en vernieuwing van certificaten voorkomt fouten en outages.

• Gebruik ACME-protocollen en automatiseringsworkflows: Dit maakt integratie met certificaatautoriteiten en dev-ops pipelines eenvoudiger.

De verkorte levensduur van SSL/TLS-certificaten tot 47 dagen in 2029 markeert een belangrijke verschuiving in de wereld van PKI- en certificaatbeheer. De verandering is bedoeld om de algehele internetveiligheid te verhogen en organisaties te dwingen hun processen te moderniseren met automation en lifecycle management. Door nu al te investeren in tooling en procesoptimalisatie kan jouw organisatie deze transitie succesvol doorlopen zonder risico op downtime of veiligheidsproblemen.

ManageEngine Key Manager Plus: voorbereid op kortere certificaatlevensduur

Met de verkorting van de SSL/TLS-certificaatlevensduur wordt geautomatiseerd certificaatbeheer onmisbaar. Key Manager Plus is specifiek ontwikkeld om organisaties hierbij te ondersteunen. De oplossing biedt centrale discovery van alle certificaten, automatische monitoring van vervaldata en geautomatiseerde vernieuwing en uitrol via o.a. ACME-integraties. Hierdoor voorkom je verlopen certificaten, service-onderbrekingen en handmatige fouten—zeker wanneer certificaten straks meerdere keren per jaar vernieuwd moeten worden.