Let's Encrypt komt eind dit jaar met tls-certificaten die zes dagen geldig zijn

[Captain Kirk]

Certificaatautoriteit Let's Encrypt zal eind dit jaar tls-certificaten gaan uitgeven die zes dagen geldig zijn. Volgens Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt, zijn certificaten met een korte levensduur goed voor security. "Wanneer de private key van een certificaat is gecompromitteerd, is het advies om het certificaat in te trekken zodat mensen weten het niet te gebruiken. Helaas werkt het intrekken van certificaten niet erg goed", stelt Aas.

Certificaten met een gecompromitteerde key kunnen daardoor worden gebruikt totdat ze zijn verlopen. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het certificaat worden ingetrokken.

Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, merkt Aas op. "Dit verkleint de noodzaak voor het intrekken van certificaten, wat historisch gezien onbetrouwbaar is." De certificaten die Let's Encrypt gaat uitgeven en zes dagen geldig zijn beschikken niet over OCSP of CRL.

Wanneer een certificaat is ingetrokken moet dit aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren.

Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Let's Encrypt liet eerder al weten dat het met de ondersteuning van OCSP gaat stoppen.

Let's Encrypt is van plan om volgende maand het eerste 'short-lived' certificaat voor zichzelf uit te geven. Rond april zullen de certificaten voor een kleine groep early adopters beschikbaar komen. Eind dit jaar zouden de certificaten met een levensduur van zes dagen voor iedereen beschikbaar moeten zijn. Het zal vooralsnog mogelijk blijven om certificaten met een levensduur van negentig dagen te kiezen.

 

bron: https://www.security.nl