Kortere geldigheid van SSL-certificaten – wat betekent het voor jou?

Je hebt het misschien al gehoord: de kortere geldigheid SSL certificaten komt eraan. De industrie is van plan om de maximale looptijd van SSL/TLS-certificaten flink in te korten. Waar een certificaat vroeger meerdere jaren mee kon, is de termijn nu al teruggebracht naar maximaal 13 maanden. En het wordt nog veel korter.

---

Het CA/B Forum (de organisatie van certificaatautoriteiten en browserleveranciers) heeft een voorstel van Apple goedgekeurd. Dit betekent dat de geldigheidsduur van SSL certificaten stapsgewijs verlaagd wordt: vanaf 15 maart 2026 (!) naar ~200 dagen, in 2027 naar ~100 dagen en uiteindelijk in 2029 naar slechts 47 dagen. Dit is een enorme verandering die invloed heeft op iedereen met een SSL-certificaat. In deze blogpost leggen we uit waarom dit gebeurt, wat de impact is, en – belangrijker – hoe je hiermee om kunt gaan door te automatiseren met behulp van het nieuwe PerfectSSL API-endpoint.

Nieuwe geldigheidsregels voor SSL-certificaten (CAB Forum voorstel)

De maximale geldigheidsduur van public SSL-certificaten is de afgelopen jaren steeds korter geworden. Tien jaar geleden kon je een SSL-certificaat voor wel 5 jaar krijgen; inmiddels is de limiet teruggebracht naar 13 maanden (ongeveer 397 dagen). Deze verkorting gebeurt niet zomaar: het verhoogt de veiligheid. Hoe korter een certificaat geldig is, hoe vaker de gegevens gecontroleerd worden en hoe kleiner de kans dat verouderde of gecompromitteerde certificaten in omloop blijven.

Nu staat dus de volgende stap voor de deur. In maart 2023 kondigde Google aan dat ze de maximale looptijd willen terugbrengen naar 90 dagen. Apple deed daar met hun eigen voorstel zelfs een schepje bovenop: een gefaseerde reductie naar 47 dagen maximale geldigheid in 2029. Concreet betekent dit voorstel:

• Vanaf maart 2026: max. ca. 200 dagen geldig
• Vanaf maart 2027: max. ca. 100 dagen geldig
• Vanaf maart 2029: max. ca. 47 dagen geldig

Daarnaast wordt voorgesteld om ook de hergebruik-periode van domeinvalidatie (het opnieuw kunnen uitgeven op basis van een eerdere controle) terug te brengen naar 10 dagen. Met andere woorden: certificaten moeten in de nabije toekomst véél vaker worden vernieuwd dan je gewend bent.

Waarom al deze veranderingen? Browsers en CAs willen zo de beveiliging verder opschroeven. Een kortere certificaatduur verkleint risico’s. Stel dat een privésleutel uitlekt of een organisatie verandert; met een certificaat dat maar een paar maanden geldig is, wordt zo’n situatie sneller rechtgezet doordat het certificaat dan al weer vernieuwd moet worden. Ook dwingt het de industrie tot betere automatisering van certificaatbeheer – iets waar we zo op terugkomen.

Impact voor klanten: vaker certificaten vervangen (en risico’s bij stilzitten)

Voor jou als klant betekent de kortere geldigheidsduur simpelweg dat je vaker je SSL-certificaat moet vervangen. Had je tot voor kort misschien eens per jaar een vervangend certificaat nodig, straks is dat elk kwartaal of zelfs om de paar weken het geval. Dat is best een verandering! En als je meerdere certificaten beheert voor verschillende websites of diensten, kan het al snel een uitdaging worden om dit allemaal handmatig bij te houden.

Waarom is deze verandering belangrijk? Ten eerste wil je voorkomen dat een certificaat ongemerkt verloopt. Een verlopen SSL-certificaat zorgt voor beveiligingswaarschuwingen in browsers en kan jouw website ontoegankelijk maken voor bezoekers – een nachtmerrie voor elke website-eigenaar. Met kortere looptijden neemt het risico op zo’n incident toe als je geen goed beheerproces hebt. Ten tweede kost handmatig vernieuwen tijd en moeite. Elke paar maanden opnieuw inloggen bij de leverancier, een CSR genereren, validatie doorlopen en het nieuwe certificaat installeren… dat wil je niet voor elk certificaat telkens handmatig doen.

Kortom, de nieuwe regels brengen meer werk en verantwoordelijkheid met zich mee voor certificaathouders. Maar gelukkig is er een oplossing om dit beheersbaar te maken: automatisering.

Oplossing: certificaatautomatisering met PerfectSSL

Automatisering is het sleutelwoord om de kortere geldigheid van SSL-certificaten het hoofd te bieden.

PerfectSSL (onze SSL-dienst bij Hosting.nl) komt hiervoor binnenkort met een nieuwe feature: een API-endpoint om je certificaten automatisch te downloaden zodra ze zijn uitgegeven of vernieuwd. Via het nieuwe endpoint

GET /ssl/{id}/download

kun je programmeermatig het certificaatbestand ophalen dat hoort bij jouw certificaat bestelling/verlenging. Dit betekent dat je niet langer handmatig hoeft in te loggen om een certificaatbestand te kopiëren; je kunt dit integreren in je eigen scripts of software.

Daarnaast zijn we de mogelijkheid aan het onderzoeken om voor PerfectSSL een ACME-service aan te bieden, daarover volgt in de komende maanden meer informatie! Schrijf je onderaan dit bericht in op onze nieuwsbrief als jij hierover op de hoogte gehouden wilt worden.

De API-integratie werkt als volgt:

1. Bestellen/verlengen: Je initieert via de API of beheerpaneel een nieuwe SSL-aanvraag (bij verlengingen gebeurt dat automatisch)
2. Downloaden: Zodra het certificaat is uitgegeven, gebruik je het

   GET /ssl/{id}/download

   endpoint om het certificaat op te halen. Dit endpoint geeft vervolgens de relevante certificaat bestanden in JSON terug als platte tekst .
3. Installeren: Je script plaatst het gedownloade certificaat op de juiste plek op je server en herstart of reload de webserver indien nodig.

Door deze stappen te automatiseren, verloopt de vernieuwing volledig hands-off. Je kunt bijvoorbeeld een cronjob instellen die periodiek controleert of er al een nieuw certificaat beschikbaar is , die dan automatisch opvragen en indien mogelijk ook installeert.

Voordelen van automatisering op een rij

Het automatiseren van je SSL-vernieuwingen heeft een hoop voordelen, zeker nu de geldigheid korter wordt:

• Geen downtime of waarschuwingen: Je certificaten worden op tijd vernieuwd, dus je website zal niet ineens met een “ongeldig certificaat” melding offline gaan.
• Tijdbesparing: Je hoeft niet zelf elk kwartaal in actie te komen. Het hele proces loopt op de achtergrond, waardoor jij je op belangrijker werk kunt richten.
• Foutreductie: Handmatige stappen (copy-paste van certificaten, installeren in de juiste omgeving) zijn foutgevoelig. Automatisering vermindert de kans op menselijke fouten.
• Schaalbaarheid: Heb je meerdere websites of diensten? Met een script is het net zo gemakkelijk om 50 certificaten te vernieuwen als één. Zonder automation zou dat onbegonnen werk zijn wanneer de interval korter wordt.
• Gemoedsrust: Je hoeft niet meer in je agenda te zetten wanneer elk certificaat verloopt – je weet dat het script of de tool het regelt. Eén ding minder om je zorgen over te maken!

Aan de slag met het nieuwe API-endpoint

De verkorte geldigheid van SSL-certificaten hoeft geen hoofdpijn te zijn. Integendeel, het is een kans om je processen te verbeteren met moderne automatisering. PerfectSSL ondersteunt je hierbij met het nieuwe

GET /ssl/{id}/download

endpoint, zodat je moeiteloos je certificaten kunt blijven vernieuwen, hoe kort hun looptijd ook wordt.