Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Nieuwe regels voor SSL-certificaten

  • Door
  • Randy ten Have
  • geplaatst op
  • 29 juni 2012 08:06 uur

Met ingang van 1 juli veranderen de regels voor de uitgifte van SSL-certificaten. Vanaf die datum zijn certificaten voor interne domeinen enkel nog verkrijgbaar met een beperkte geldigheidsduur en zullen uiteindelijk uitgefaseerd worden.

Bij certificaten met bedrijfsgegevens zal vanaf 1 juli ook een telefonische validatie plaatsvinden. De regels zijn industriebreed afgesproken en zullen door alle leveranciers van SSL-certificaten gehandhaafd worden. De richtlijnen zijn opgesteld door het CA/Browser forum, waar alle grote CA’s aan deelnemen.

Betere validatie
De richtlijnen voor certificaten met bedrijfsgegevens zijn gewijzigd. Per 1 juli 2012 zal er voor alle certificaten met bedrijfsgegevens een telefonische validatie worden uitgevoerd. Deze telefonische validatie bestond reeds voor de zogenaamde EV-certificaten met groene adresbalk, maar zal nu bij alle certificaten met bedrijfsgegevens moeten worden uitgevoerd.

Bij de telefonische validatie wordt er door de CA, of in sommige omstandigheden door de leverancier namens de CA, telefonisch contact opgenomen met de klant. De klant wordt gebeld op een algemeen nummer van het bedrijf (zoals het telefoonnummer wat vermeld staat bij de Kamer van Koophandel) en op dat nummer wordt de klant gevraagd of hij akkoord gaat met de aanvraag.

Interne domeinen
Vanaf 1 juli 2012 mogen er geen SSL-certificaten meer uitgeven worden met interne domeinen welke een einddatum hebben later dan 1 november 2015. De browserfabrikanten zoals Microsoft en Mozilla vinden het gebruik van interne domeinen in SSL-certificaten onveilig. Met name op Exchange servers heeft het afschaffen van interne domeinen echter grote consequenties omdat de domeinennamen zeer lastig zijn aan te passen. Vandaar dat het tot 1 november 2015 nog wel mogelijk zal zijn om certificaten met interne domeinen aan te vragen, maar altijd met een einddatum die voor 1 november 2015 ligt.

“De reden die wordt gegeven voor de wijziging is dat interne server namen niet uniek zijn en daarom eenvoudig vervalst kunnen worden. Hierdoor ontstaat de mogelijkheid van een ‘man-in-the-middle’ aanval. Met veel voorkomende namen als server001 of webmail weet de gebruiker nooit zeker of het daadwerkelijk met de juiste partij te maken heeft of met een kwaadwillende”, aldus Maarten Bremer van Xolphin.

Certificaten met interne domeinnamen welke voor 1 juli 2012 zijn uitgegeven en op 1 oktober 2016 nog geldig zijn zullen door de certificate authorities worden ingetrokken.

Sebastiaan Stok, 30 juni 2012 1:36 pm

Het zal is tijd worden, het is van de gekke dat het zo lang heeft geduurd. Al meerdere malen zijn er door CA's ongeldig Certificaat uitgegeven omdat ze er vanuit gingen dat het voor intern gebruik was.

Klein puntje over Reeds ;)
http://www.kiezelcommunicatie.nl/kiezelblog/woorden-die-niet-meer-mogen-aflevering-1/

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.