TLS-certifikat används framförallt för att kryptera webbtrafik över https. Alla TLS-certifikat som ges ut av certifikatutgivare (CA) ges en maximal livslängd efter vilken certifikatet måste bytas ut eller förnyas. Från början handlade livslängden om flera år, men har successivt kortats med till idag två år.
Livslängden för TLS-certifikat är en het fråga inom CA/B Forum – det standardiseringsorgan som beslutar om gemensamma regler för certifikat, och där både certifikatutgivare och leverantörer av webbläsare sitter med runt bordet. Webbläsarna, läs Apple, Google och Mozilla, vill ha kort livslängd för certifikaten, medan certifikatutgivare vill att den ska vara längre, skriver ZDNet.
Vilka som har makten i denna fråga i CA/B Forum är dock ganska tydligt eftersom webbläsarna mer eller mindre gör som de vill. Apple gick bräschen redan i februari och kortade livslängden för TLS-certifikat till 398 dagar, och nu hakar Google och Mozilla på tåget och kommer från den 1 september att stoppa certifikat som är äldre än dessa 398 dagar. Att en CA sätter en längre livslängd hjälper inte om inte webbläsaren accepterar en längre livslängd.
Webbläsarnas argument för kortare livslängder är förstås säkerhet. Komprometterade certifikat ska dras tillbaka av certifikatutgivaren, men det är vanligt att detta tar för lång tid eller inte sker alls. Detta ska också ses i ljuset av att det är idag enkelt och gratis för vem som helst att skaffa giltiga certifikat. Utgivarna å sin sida menar att en kortare livslängd saknar betydelse för säkerheten, och att en kortare livslängd skapar administrativt krångel för ägarna av certifikaten.
Agerandet från Apple, Google och Mozilla är en tydlig maktdemonstration inom CA/B Forum och kan närmast ses som en kupp eftersom kortandet av livslängden för TLS-certifikat bryter mot den överenskomna standarden.
Läs också:
Nu ska SHA-1 döden dö – en gång för alla
Let's Encrypt pausar återkallande av certifikat
