- Door
- Randy ten Have
- geplaatst op
- 29 juni 2012 08:06 uur
Met ingang van 1 juli veranderen de regels voor de uitgifte van SSL-certificaten. Vanaf die datum zijn certificaten voor interne domeinen enkel nog verkrijgbaar met een beperkte geldigheidsduur en zullen uiteindelijk uitgefaseerd worden.
Bij certificaten met bedrijfsgegevens zal vanaf 1 juli ook een telefonische validatie plaatsvinden. De regels zijn industriebreed afgesproken en zullen door alle leveranciers van SSL-certificaten gehandhaafd worden. De richtlijnen zijn opgesteld door het CA/Browser forum, waar alle grote CA’s aan deelnemen.
Betere validatie
De richtlijnen voor certificaten met bedrijfsgegevens zijn gewijzigd. Per 1 juli 2012 zal er voor alle certificaten met bedrijfsgegevens een telefonische validatie worden uitgevoerd. Deze telefonische validatie bestond reeds voor de zogenaamde EV-certificaten met groene adresbalk, maar zal nu bij alle certificaten met bedrijfsgegevens moeten worden uitgevoerd.
Bij de telefonische validatie wordt er door de CA, of in sommige omstandigheden door de leverancier namens de CA, telefonisch contact opgenomen met de klant. De klant wordt gebeld op een algemeen nummer van het bedrijf (zoals het telefoonnummer wat vermeld staat bij de Kamer van Koophandel) en op dat nummer wordt de klant gevraagd of hij akkoord gaat met de aanvraag.
Interne domeinen
Vanaf 1 juli 2012 mogen er geen SSL-certificaten meer uitgeven worden met interne domeinen welke een einddatum hebben later dan 1 november 2015. De browserfabrikanten zoals Microsoft en Mozilla vinden het gebruik van interne domeinen in SSL-certificaten onveilig. Met name op Exchange servers heeft het afschaffen van interne domeinen echter grote consequenties omdat de domeinennamen zeer lastig zijn aan te passen. Vandaar dat het tot 1 november 2015 nog wel mogelijk zal zijn om certificaten met interne domeinen aan te vragen, maar altijd met een einddatum die voor 1 november 2015 ligt.
“De reden die wordt gegeven voor de wijziging is dat interne server namen niet uniek zijn en daarom eenvoudig vervalst kunnen worden. Hierdoor ontstaat de mogelijkheid van een ‘man-in-the-middle’ aanval. Met veel voorkomende namen als server001 of webmail weet de gebruiker nooit zeker of het daadwerkelijk met de juiste partij te maken heeft of met een kwaadwillende”, aldus Maarten Bremer van Xolphin.
Certificaten met interne domeinnamen welke voor 1 juli 2012 zijn uitgegeven en op 1 oktober 2016 nog geldig zijn zullen door de certificate authorities worden ingetrokken.