De "validity period" van een certificaat is niet meer dan een datum. Als je zelf je eigen certificaten maakt dan heb je de vrije hand in het kiezen van deze datums. Je kunt certificaten maken die 30 seconde geldig zijn, en certificaten die 30 jaar geldig zijn. Letterlijk het enige verschil tussen die twee is de datum, de werking van beide certificaten blijft gelijk, na 20 seconde, na 20 uur, na 20 jaar, het ene certificaat is dan al (bijna
) 20 jaar verlopen, maar ze doen beide nog exact hetzelfde. Over dat stuk hoef je je dus niet druk te maken.
Máár:
Een certificaat heeft niet voor niets een geldigheidsduur. Bij uitgifte van het certificaat wordt gekeken of de site daadwerkelijk van degene is die het certificaat aanvraagt (en afhankelijk van het soort certificaat kan er nog veel meer gecontroleerd worden; voor DigiD bijvoorbeeld werd zo'n beetje onze hele Raad van Bestuur tegen het licht gehouden en is er jaarlijks een audit) en hoe langer dat geleden is, hoe groter de kans is dat er iets is veranderd. Enige garanties die er aan het certificaat hingen zijn niet meer van toepassing zodra het verlopen is, en een computer is natuurlijk binair: certificaat verstreken? Niet vertrouwd! Als persoon kun je er voor kiezen daar wat genuanceerder mee om te gaan. Is het de website van je bank? Oei, misschien je bank bellen dat hun IT-afdeling zit te slapen, en zelf even wachten met internetbankieren. Bij iets als een bank kan dit ECHT niet… Sterker nog, persoonlijk acht ik de kans groter dat de site waar je naartoe gaat NIET van de bank is (maar een typefout, phishing, DNS poisoning, iets anders), want over het algemeen zitten banken daar erg goed bovenop. Is het echter een forum waar je veel komt en waarvan je weet dat de eigenaren niet meer actief zijn? Dan is er waarschijnlijk niks aan de hand, is het nog steeds dezelfde website en webserver als voorheen, en kun je de site nog gewoon gebruiken.
Ook hieraan (je eigen inschatting gebruiken) zit een grote "
Máár:", en dat is wat @
samo al noemde: Als het certificaat niet wordt bijgehouden, dan wordt de rest waarschijnlijk ook niet bijgehouden, en in de IT is stilstand hetzelfde als heel snel achteruit gaan.
Zelf beheer en bewaak ik een omgeving met zo'n 50 publiek vertrouwde certificaten en ettelijke duizenden op onze interne Certificate Authority, en hoewel er heus af en toe eentje door het net glipt (waarna we onze monitoring aanscherpen en procedure onder de loep nemen) is het bijhouden van certificaten echt geen rocket surgery.
Long story short: een verlopen certificaat is niet per direct kwetsbaar, maar het is wel een sterk signaal dat er meer aan de hand kan zijn. Als je de beheerder er op wijst en een half uur later staat er een nieuw certificaat dan is dat slordig van die beheerder maar verder hoeft er niet zo veel aan de hand te zijn, maar als het (ook na pogingen contact te leggen met de beheerder) niet wordt vervangen dan zou ik me zorgen maken over de technische staat van de site, en over de levensvatbaarheid ervan.
Als de userbase wel actief is zou je kunnen kijken of er technische mensen tussen zitten en je het beheer over kunt nemen van de huidige beheerder, of gezamenlijk een vergelijkbaar forum zoeken (of opzetten).
:strip_exif()/u/87035/li.gif?f=community)
:strip_icc():strip_exif()/u/109013/crop5ebb9b611401c_cropped.jpeg?f=community)
/u/11437/wandcontactdoos.png?f=community)