Synology-Forum.nl

Algemeen => The lounge => Topic gestart door: Briolet op 15 april 2025, 12:07:00

Titel: Levensduur certificaten verkort naar 47 dagen
Bericht door: Briolet op 15 april 2025, 12:07:00

Het is de bedoeling dat browsers straks certificaten gaan verwerpen die ouder zijn dan 47 dagen. Nu is dat nog 13 maand.  Security.nl (https://www.security.nl/posting/884215/Levensduur+van+tls-certificaten+verkort+naar+47+dagen+in+2029)

Op die manier moet je wel een automatisch systeem hebben om certificaten te gaan vervangen. 

Titel: Re: Levensduur certificaten verkort naar 47 dagen
Bericht door: sarausa op 12 juni 2025, 05:26:43

Google Chrome and Mozilla are experimenting with a "cert freshness" mechanism, which forces certificates to be fresh within a specific time period (e.g. no more than 90 days old, and must be updated 1–2 months earlier).

Titel: Re: Levensduur certificaten verkort naar 47 dagen
Bericht door: ladygaga op 10 juli 2025, 08:47:15

Is er al een makkelijke manier om dit te automatiseren binnen DSM?

Titel: Re: Levensduur certificaten verkort naar 47 dagen
Bericht door: Briolet op 10 juli 2025, 09:32:02

Als het zover komt zal DSM vast een update krijgen waarbij de huidige update vaker aangeroepen wordt. Op het moment start de updater slechts 1x per week en worden alle certificaten die binnen 1 maand aflopen vervangen. Als dat een of twee keer niet goed gaat is  er nog niets aan de hand.

Overigens is Let's Encrypt sinds 1 juli begonnen met het uitgeven van certificaten op basis van een IP adres.  (bron (https://letsencrypt.org/2025/07/01/issuing-our-first-ip-address-certificate/)) Dit wordt nog niet door DSM ondersteund.  Verder is Let's Encrypt al in februari van dit jaar begonen met het uitgeven van certificaten die maar 6 dagen geldig zijn voor een kleine groep gebruikers. Eind van dit jaar moet het voer iedereen beschikbaar komen. (bron (https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/)) Dan blijf je aan het updaten.