Pas op: Mozilla verandert de regels voor websitebeveiliging
Mozilla's Root Store Policy 3.1: Wat er verandert en waarom het jou aangaat
Die kleine slotjes in je browser balk - je ziet ze elke dag. Maar wist je dat Mozilla achter de schermen zorgt dat die slotjes betrouwbaar blijven? Hun Root Store programma beheert de lijst met vertrouwde Certificate Authorities, de partijen die HTTPS mogelijk maken op het web. Nu heeft Mozilla versie 3.1 van hun Root Store Policy gelanceerd. Het klinkt misschien als saaie administratie, maar deze wijzigingen hebben flinke impact op iedereen met een website of webapplicatie.
Niet alleen intrekken, maar vertrouwen bouwen
Eerdere updates gingen vooral over het sneller intrekken van certificaten en automatisering. Belangrijk, maar vrij technisch. Versie 3.1 gaat een stap verder. Waar het прежде ging om "hoe trekken we certificaten sneller in?", stelt Mozilla nu een fundamenteelere vraag: "Hoe weten we eigenlijk dat CAs doen wat ze beloven?"
Die verschuiving is cruciaal. Web PKI vormt de ruggengraat van webbeveiliging, maar die betrouwbaarheid hangt af van goede documentatie, transparantie en onafhankelijke controle. Als je niet kunt zien hoe een CA werkt, hoe kun je dan controleren of ze hun beloftes nakomen?
Strengere eisen aan documentatie
Vanaf 1 juli 2026 gelden striktere regels voor Certificate Practice Statements en gecombineerde Certificate Policy documenten. De nieuwe richtlijnen vereisen documentatie die:
- Duidelijk en begrensd is: Geen vage formuleringen of onbeperkte disclaimers meer
- Controleerbaar is: Reviewers moekn kunnen verifiëren of de praktijk overeenkomt met de documentatie
- Goed onderhouden wordt: Versiebeheer en toegankelijkheid zorgen voor langdurige verantwoordelijkheid
Stel het zo voor: het verschil tussen een contract met kleine lettertjes waar staat "we doen ons best" en een contract met duidelijke verantwoordelijkheden, testprocedures en meetbare criteria. Dit gaat niet om het opzadelen van CAs met extra papierwerk. Het gaat om documentatie die daadwerkelijk iets betekent.
Voor bedrijven betekent dit meer vertrouwen dat je certificaatleverancier ook echt doet wat ze zeggen. En minder verrassingen bij je eigen compliance-audits.
Detailed Controls Reports: Onder de motorkik kijken
De grootste vernieuwing is de introductie van Detailed Controls Reports (DCRs), verplicht voor auditperiodes vanaf 1 juli 2027. Traditionele WebTrust en ETSI audits controleren compliance, maar geven vaak weinig inzicht in de specifieke controls en testprocedures die aan die conclusies ten grondslag liggen.
DCRs veranderen dit door van CAs te eisen dat ze documenteren:
- De reikwijdte en grenzen van hun CA-systemen
- Welke specifieke controls ze hebben geïmplementeerd
- Hoe de auditor testprocedures heeft uitgevoerd
- Welke uitzonderingen of tekortkomingen zijn gevonden
Vergelijk het met het verschil tussen een auto-inspectie met alleen de stempel "verkeersveilig" en eentje met gedetailleerde notities over remschijven, bandenprofiel en vloeistofniveaus. Beide kunnen slagen, maar bij één weet je een stuk beter wat je koopt.
Waarom dit belangrijk is voor jouw bedrijf
Of je nu een startup runt, een hostingplatform beheert of applicaties bouwt die gevoelige data verwerken - deze wijzigingen raken jou:
Meer vertrouwen in certificaatleveranciers: Wanneer je CA gedetailleerde documentatie en controls reporting moet leveren, weet je beter dat je beveiligingsfundament op orde is.
Snellere incident-response: Betere documentatie betekent sneller achterhalen wat er misging wanneer er iets misgaat. En er gaat wel eens iets mis, zelfs bij de beste CAs.
Efficiëntere compliance: Moet je securitypraktijken aantonen naar klanten, partners of toezichthouders? Een transparanter CA-ecosysteem versterkt je overall compliance-positie.
Minder supply chain-risico: Het certificaat-ecosysteem is onderdeel van je beveiligingsketen. Strengere eisen ergens bovenin betekenen een stabielere basis voor iedereen eronder.
Vooruitblik
Mozilla's aankondiging markeert een volwassenwording van het Web PKI-governancemodel. In plaats van alleen technische eisen toe te voegen, pakken ze de menselijke systemen aan: documentatie, auditing en verantwoordingsstructuren die technische beveiliging pas echt betekenis geven.
Bij NameOcean zien we deze focus op transparantie als winst voor iedereen in het web-ecosysteem. Of je nu een domein registreert, SSL-certificaten instelt of de volgende generatie webapplicaties bouwt - deze verbeteringen zorgen ervoor dat dat slotje in je browser daadwerkelijk iets voorstelt.
De invoeringstermijnen (1 juli 2026 voor beleidswijzigingen, 1 juli 2027 voor DCR-vereisten) geven CAs ruimte om hun processen aan te passen. Voor de meeste website-eigenaren blijven de veranderingen onzichtbaar - gewoon weer een vertrouwd certificaat dat stil zijn werk doet op de achtergrond. Maar achter dat slotje worden de fundamenten sterker.
Blijf veilig daarbuiten.