Maximale levensduur interne certificaten.

Als je met "intern" self signed bedoelt is het nooit goed om die te gebruiken in een bedrijfsomgeving. Je krijgt daar toch allang meldingen van in Chrome of Edge?

bertman1980 schreef op donderdag 26 januari 2023 @ 22:54:
Wij zitten natuurlijk niet te wachten om elke jaar al onze certificaten te moeten vervangen als dit niet nodig zou zijn.

Iemand een idee, mening en of werkwijze?

Gewoon tijd maken en zorgen dat je geldige certificaten gebruikt. Dat verlangen klanten en externe certificering van jullie bedrijfstak toch neem ik aan?

[Voor 79% gewijzigd door NimRod1337 op 26-01-2023 23:00]

NimRod1337 schreef op donderdag 26 januari 2023 @ 22:57:
Als je met "intern" self signed bedoelt is het nooit goed om die te gebruiken in een bedrijfsomgeving. Je krijgt daar toch allang meldingen van in Chrome of Edge?

Niks mis met self-signed certificaten als je een distributiekanaal hebt (bijv. InTune) waarmee je dat certificaat voor iedereen beschikbaar kan stellen en ze alleen intern gebruikt voor de juiste dingen.

Als je het root certificaat op diezelfde manier verspreidt en installeert bij iedereen is het gewoon een helemaal 100% geldig certificaat net zoals die van iedere andere partij, dus geen enkele technische reden om het niet te doen, alleen een praktische (je moet 'm verspreiden en installeren).

Oon schreef op donderdag 26 januari 2023 @ 23:01:
[...]

Niks mis met self-signed certificaten als je een distributiekanaal hebt (bijv. InTune) waarmee je dat certificaat voor iedereen beschikbaar kan stellen en ze alleen intern gebruikt voor de juiste dingen.

Als je het root certificaat op diezelfde manier verspreidt en installeert bij iedereen is het gewoon een helemaal 100% geldig certificaat net zoals die van iedere andere partij, dus geen enkele technische reden om het niet te doen, alleen een praktische (je moet 'm verspreiden en installeren).

Wat is het nut daarvan dan? Goedkoper? Ziet er niet uit als minder werk in elk geval. En de grote SSL partijnen ook Letsencrypt hebben allemaal api's die je kunt gebruiken, dat kan nu niet.

[Voor 6% gewijzigd door NimRod1337 op 26-01-2023 23:05]

Het ligt er maar aan. Vaak zie je toch langere periodes intern, omdat ‘men’ certificaten maar lastig vindt. Waarna je dan elke keer tegen een P1 incident aanloopt omdat men het certificaat van belangrijke service niet op tijd heeft vernieuwd. En niemand meer precies weet wat ze 3-5 jaar geleden hebben gedaan.

Maar kijk naar de richtlijnen van het CA/Browser Forum, die stellen een maximum van 13 maanden (397 dagen) voor, als ik me het goed herinner.

— edit:

6.3.2 Certificate operational periods and key pair usage periods
Subscriber Certificates issued on or after 1 September 2020 SHOULD NOT have a Validity Period greater than 397 days and MUST NOT have a Validity Period greater than 398 days. Subscriber Certificates issued after 1 March 2018, but prior to 1 September 2020, MUST NOT have a Validity Period greater than 825 days. Subscriber Certificates issued after 1 July 2016 but prior to 1 March 2018 MUST NOT have a Validity Period greater than 39 months.

For the purpose of calculations, a day is measured as 86,400 seconds. Any amount of time greater than this, including fractional seconds and/or leap seconds, shall represent an additional day. For this reason, Subscriber Certificates SHOULD NOT be issued for the maximum permissible time by default, in order to account for such adjustments.

[Voor 47% gewijzigd door Qwerty-273 op 26-01-2023 23:30]

NimRod1337 schreef op donderdag 26 januari 2023 @ 23:04:
[...]

Wat is het nut daarvan dan? Goedkoper? Ziet er niet uit als minder werk in elk geval. En de grote SSL partijnen ook Letsencrypt hebben allemaal api's die je kunt gebruiken, dat kan nu niet.

Je draait het om. CA’s zijn - gechargeerd - een halfbakken oplossing voor het probleem van certificaatdistributie*

Als je dat probleem niet hebt, heb je de oplossing ook niet nodig

Maar in de praktijk zijn externe CAs vaak beter dan interne PKI voor het veilig uitgeven / roteren / revoken van certificaten en disaster recovery.

[Voor 13% gewijzigd door eamelink op 26-01-2023 23:28]

Zoals al aangegeven door Qwerty-273 is het maximum 398 dagen waar de grotere browsers en een aantal andere partijen over hebben gestemd en ook zijn gaan uitvoeren. Wat mij wel opvalt is dat je aangeeft eigen Root CA te hebben maar dat op iOS dit niet werkt met langere certificaten dan een jaar.

Na wat zoeken kom ik er achter dat de 398 dagen niet zou moeten gelden voor eigen Root CA uitgegeven certificaten. Echter sinds iOS 13 ligt de maximale geldigheid van alle TLS certificaten op maximaal 825 dagen. Bron:https://support.apple.com/en-us/HT210176. Waarschijnlijk dat daarom je 5 jaar geldig certificaat niet werd geaccepteerd.

Oftewel; voor maximale compatibiliteit maximaal 825 dagen aanhouden of nog beter 398 dagen.

Daarnaast toch gaan proberen om dit regelmatig(er) te gaan vervangen. Juist doordat de geldigheid zo hoog is krijg je problemen omdat het vergeten gaat worden, niet geautomatiseerd is (want eens per 5 jaar is niet rendabel om te automatiseren), of kennis vergaat.

[Voor 19% gewijzigd door Remz op 27-01-2023 00:03]

Volgens mij word je nu al een aantal keer richting automatisering geduwd. Dan maakt de geldigheid van een certificaat niets meer uit, net als bij Let's Encrypt. Je certificaten zijn dan een maand of drie geldig, elke server die een certificaat nodig heeft heeft een cronjobje lopen die elke dag controleert of het certificaat binnen een maand gaat verlopen en dan wordt geprobereerd op je interne CA een nieuw certificaat te signen wat dan volautomatisch geïnstalleerd wordt. Daarmee maakt ook het aantal certificaten niet meer uit, je hebt er verder geen werk meer aan.

Kun je niet een load balancer inzetten die SSL offloading doet?
Niet dat ik perse fan ben maar je zou zelfs een wildcard certficaat kunnen inzetten als je domain "domein.local" is. In dat geval is het een kwesie van 1 certificaat (per jaar?) vervangen. Ik zou er persoonlijk achterlijk van worden zoveel certificaten op zoveel plaatsen te moeten beheren.