CA/Browser Forumu, SSL/TLS sertifikalarının ömrünü önümüzdeki dört yıl içinde kademeli olarak azaltma kararı aldı; 2029 itibarıyla sertifika ömrü yalnızca 47 gün olacak.
Bu yılın başlarında Apple, sertifika ömrünü azaltma önerisi sundu ve bu öneri Sectigo, Google Chrome ekibi ve Mozilla tarafından desteklendi. Öneri, mevcut 398 günlük sertifika ömrünü önümüzdeki dört yıl içinde kademeli olarak 47 güne düşürmeyi hedefliyor.
CA/Browser Forumu, sertifika yetkilileri (CA’lar) ve tarayıcı geliştiricileri gibi yazılım satıcılarından oluşan bir grup olup, internet iletişiminde kullanılan dijital sertifikalar için güvenlik standartlarını oluşturmak ve sürdürmek amacıyla çalışıyor. Üyeleri arasında DigiCert, GlobalSign gibi büyük CA’lar ile Google, Apple, Mozilla ve Microsoft gibi tarayıcı satıcıları yer alıyor.
Amaç, eski sertifika verilerinden, kullanımdan kaldırılmış kriptografik algoritmalardan ve ele geçirilmiş kimlik bilgilerinin uzun süreli açıkta kalmasından kaynaklanan riskleri en aza indirmek. Ayrıca, şirketleri ve geliştiricileri TLS sertifikalarını yenileme süreçlerini otomatikleştirmeye teşvik ederek, sitelerin süresi dolmuş sertifikalarla çalışmasını zorlaştırmayı hedefliyor.
SSL/TLS sertifikaları, internet üzerinden güvenli iletişim (HTTPS) sağlayan dijital dosyalardır; verileri şifreler ve web sitelerini doğrular. Bu sertifikalar, parola ve kredi kartı bilgileri gibi hassas verilerin ortadaki saldırganlar tarafından ele geçirilmesini önlemek için bağlantıyı şifreler. Ayrıca, web sitesini doğrular ve veri bütünlüğünü garanti eder, yani kullanıcı ile sunucu arasında değiş tokuş edilen bilgilerin değiştirilmediğini temin eder. Sertifikalar yenilenmeden süresi dolarsa, kullanıcılar tarayıcılarında bağlantının güvenli veya özel olmadığına dair bir uyarı görür.
Şu anda sertifikaların ömrü ve Alan Adı Kontrol Doğrulaması (DCV) 398 gün, ancak çoğu sertifika yetkilisi, günümüzün güvenlik ortamında bu sürenin fazla uzun olduğu konusunda hemfikir. 29 lehte ve sıfır aleyhte oyla, CA/Browser Forumu sertifika ömrünü şu şekilde kısaltma kararı aldı:
- 15 Mart 2026’dan itibaren: Sertifika ömrü ve DCV 200 güne indirilecek.
- 15 Mart 2027’den itibaren: Sertifika ömrü ve DCV 100 güne indirilecek.
- 15 Mart 2029’dan itibaren: Sertifika ömrü 47 güne, DCV ise 10 güne indirilecek.
Sertifika yaşam döngüsünün kısaltılması, çoklu alan adlarını yönetenler için yönetim yükü yaratacak ve büyük bir sorumluluk getirecek. Ancak bu adımın sertifika talep eden şirketlerin daha sık doğrulanmasını zorlayacağı, otomasyonu teşvik edeceği ve nihayetinde ekosistemi daha güvenli hale getireceği bekleniyor. Kademeli kısaltma, etkilenen kuruluşlara, bulut sağlayıcıları, Let’s Encrypt veya ACME protokolünü destekleyen sertifika sağlayıcıları gibi otomatik sertifika yenileme sistemlerine geçiş için yeterli zaman tanıyor.
