De paradox van SSL-certificaten: waarom 15 jaar zelden de beste keuze is

SSL-certificaten verlopen tegenwoordig meestal na negentig dagen. Dat ritme is voor veel beheerders inmiddels vanzelfsprekend. Toch bestaat er een optie om een certificaat voor maar liefst vijftien jaar uit te geven. De techniek is er, de infrastructuur staat klaar. Toch kiest vrijwel niemand voor die lange looptijd. Waarom niet?

De lange optie is echt beschikbaar

Bepaalde certificate authorities bieden al langer de mogelijkheid om Origin Certificates af te geven met een geldigheidsduur van vijftien jaar. Vooral binnen het Cloudflare-ecosysteem is dit technisch eenvoudig in te stellen. Het is dus geen theorie of verborgen functie; het is gewoon een beschikbare keuze.

Waarom we juist korter gingen

De trend naar kortere certificaten is bewust ingezet. In 2020 besloot de CA/B Forum om certificaten met een looptijd van twee of drie jaar uit te faseren. De argumenten daarvoor zijn nog steeds geldig.

Een lang certificaat betekent een lang venster waarin misbruik mogelijk is als een private key ooit wordt gecompromitteerd. Daarnaast is het makkelijker om sleutels regelmatig te roteren als je dat elke paar maanden doet in plaats van eens in de vijftien jaar. En met de komst van geautomatiseerde systemen zoals Let's Encrypt verdween het economische voordeel van langlevende certificaten.

Automatisering als norm

Het belangrijkste punt is dat moderne infrastructuur certificaten automatisch moet beheren. Als je dat niet doet, heb je een groter probleem dan de geldigheidsduur. Een certificaat dat vijftien jaar meegaat klinkt misschien prettig, maar het haalt de druk weg om je automatisering op orde te houden.

De negentig-dagen-cyclus werkt in de praktijk als een ingebouwde herinnering. Hij dwingt je om processen te bouwen die certificaten aanmaken, controleren en vernieuwen zonder handmatig ingrijpen.

Zichtbaarheid en controle

Sommige platforms kunnen automatisch kiezen welk type validatie en certificaat het beste past bij je setup. Dat klinkt als een oplossing, maar het introduceert ook een risico. Als een certificaat vijftien jaar niet meer hoeft te worden aangeraakt, verlies je zicht op het proces. En juist die momenten van rotatie zijn waardevol om te controleren of alles nog werkt zoals het moet.

Wanneer een lang certificaat wél nuttig kan zijn

Er zijn situaties waarin een langere geldigheidsduur wel voordelen biedt. Denk aan interne services achter een proxy, ontwikkel- of staging-omgevingen, of embedded systemen die moeilijk te updaten zijn. Ook als backup of voor disaster recovery kan een lang certificaat nuttig zijn.

Wat je écht moet regelen

Of je nu kiest voor negentig dagen of vijftien jaar: je monitoring en pipelines moeten voorbereid zijn op rotatie. Bouw automatisering die certificaten zonder handmatig werk beheert. Zorg voor goede monitoring, test je herstelprocedures en documenteer hoe alles werkt.

Een lang certificaat lost geen operationele problemen op. Het verschuift ze alleen naar de toekomst.

De Cloudflare-optie

Als je Cloudflare gebruikt, kun je Origin Certificates met een langere geldigheidsduur aanvragen. Dat is handig voor specifieke gevallen, maar voor productieomgevingen blijft de korte cyclus meestal de betere keuze.

Conclusie

Dat 15-jarige certificaten bestaan maar bijna niemand ze gebruikt, zegt iets over hoe de industrie werkt. De negentig-dagen-standaard is geen beperking, maar een mechanisme dat zorgt voor betere infrastructuur. Automatisering en regelmatige rotatie houden systemen scherp. Daar draait het uiteindelijk om.