Belangrijke TLS‑wijzigingen per 12 maart 2026

Name: Previder
Price range: $

De CA/Browser (CA/B) Forum heeft grote wijzigingen doorgevoerd in de Baseline Requirements voor publiek vertrouwde TLS‑certificaten. Vanaf 12 maart 2026 daalt de maximale looptijd van certificaten van 398 dagen naar 199/198 dagen. Dit is de eerste stap richting een maximale geldigheid van slechts 47 dagen in 2029.

Security

Aanleiding voor de wijzigingen

• Verhogen van beveiliging door kortere geldigheidsduur

• Verbetering van domeinvalidatie (DCV)

• Stimuleren van automatisering in certificaatbeheer

• Voorbereiding op post‑quantum cryptografie

Impact voor organisaties

Certificaten moeten veel vaker worden vernieuwd. Handmatig beheer wordt foutgevoelig en onhoudbaar, terwijl correcte DNS‑validatie en automatisering cruciaal worden om downtime te voorkomen.

Tijdspad TLS‑wijzigingen

Datum	Maximale geldigheid	Gevolg
Tot 12 maart 2026	398 dagen	Handmatige jaarlijkse vervanging mogelijk
Vanaf 12 maart 2026	200 dagen	Automatisering noodzakelijk
Vanaf 12 maart 2027	100 dagen	Gevolg: Zeer korte renewal‑cycli
Vanaf 12 maart 2029	47 dagen	Volledig geautomatiseerd certificaatbeheer vereist

Aanbevelingen voor IT‑beheerders

1. Automatiseer certificaatuitgifte en -verlenging (ACME / CLM‑oplossingen)

2. Schakel DNSSEC in voor veilige en betrouwbare domeinvalidatie

3. Breng alle TLS‑certificaten centraal in kaart

4. Monitor verlopen certificaten minimaal 30–60 dagen vooraf

5. Bereid processen nu al voor op 100‑ en 47‑dagen certificaten

Onze DNS servers zijn gebaseerd op powerdns en ondersteunen ook de powerdns api die gebruikt kan worden voor automatische vernieuwing (middels ACME).

Conclusie

De TLS‑wijzigingen van het CA/Browser Forum markeren een fundamentele verandering in certificaatbeheer. Organisaties die nu investeren in automatisering, DNSSEC en lifecycle‑processen voorkomen service‑onderbrekingen en zijn beter voorbereid op toekomstige cryptografische uitdagingen.