Sinds 15 maart 2026 mag geen enkele certificaatautoriteit ter wereld nog een publiek SSL/TLS-certificaat uitgeven dat langer dan 200 dagen geldig is. Voorheen was dat 398 dagen, iets meer dan een jaar. En dit is nog maar het begin: in maart 2029 daalt de maximale geldigheidsduur naar 47 dagen.
Zit je op managed hosting of gebruik je Let's Encrypt? Dan merk je er waarschijnlijk niets van. Beheer je certificaten nog met de hand? Dan is dit het moment om dat te veranderen.
TL;DR:
- Het CA/Browser Forum stemde in april 2025 unaniem vóór ballot SC-081v3
- Maximale geldigheid: nu 200 dagen, 100 dagen vanaf maart 2027, 47 dagen vanaf maart 2029
- Domeinvalidatie verloopt op hetzelfde schema, en in 2029 moet bij elke verlenging opnieuw bewezen worden dat je het domein beheert
- Geautomatiseerde systemen zoals Let's Encrypt en managed hosting regelen dit gewoon voor je
- Handmatig certificaatbeheer wordt binnen twee jaar onwerkbaar
Wat het CA/Browser Forum heeft besloten
Het CA/Browser Forum is het orgaan waar certificaatautoriteiten (de organisaties die SSL-certificaten uitgeven) en browserleveranciers (Apple, Google, Microsoft, Mozilla) samen de regels bepalen voor webversleuteling. In april 2025 stemden zij over ballot SC-081v3, ingediend door Apple en gesteund door Google Chrome, Mozilla en Sectigo.
Het resultaat: 25 certificaatautoriteiten stemden voor, nul tegen, vijf onthielden zich. Alle vier de browserleveranciers stemden voor.
Het afbouwschema:
| Datum | Maximale certificaatgeldigheid |
|---|---|
| Vóór 15 maart 2026 | 398 dagen |
| 15 maart 2026 (nu) | 200 dagen |
| 15 maart 2027 | 100 dagen |
| 15 maart 2029 | 47 dagen |
Wat minder aandacht krijgt: ook de hergebruikstermijn van domeinvalidatie (DCV) daalt mee. Als een certificaatautoriteit heeft geverifieerd dat jij een domein beheert, mag dat bewijs nu nog maximaal 200 dagen hergebruikt worden. In 2029 wordt dat 10 dagen. Dat betekent concreet dat elke certificaatverlenging opnieuw bewijs van domeinbezit vereist.
Waarom kortere certificaten?
Dit komt niet uit de lucht vallen. Browserleveranciers dringen al meer dan tien jaar aan op kortere levensduren. Google stelde in 2017 al voor om de maximale geldigheid te verlagen naar 398 dagen, maar de certificaatautoriteiten stemden het weg. In 2020 forceerde Apple de kwestie door aan te kondigen dat Safari certificaten langer dan 398 dagen gewoon niet meer zou vertrouwen, ongeacht wat het Forum besloot. Google en Mozilla volgden binnen weken.
De beveiligingsargumenten zijn helder.
Certificaatintrekking werkt niet. De mechanismen om een gecompromitteerd certificaat in te trekken (OCSP en CRL) zijn in de praktijk onbetrouwbaar. Browsers negeren fouten liever dan dat ze websites blokkeren, want anders zouden te veel sites onbereikbaar worden. Let's Encrypt stopte in 2025 helemaal met OCSP en stelt dat kortlevende certificaten intrekking grotendeels overbodig maken. Als een certificaat binnen weken verloopt in plaats van maanden, is het venster voor misbruik van een gestolen privésleutel gewoon veel kleiner.
Certificaatinformatie veroudert. Een certificaat is een momentopname. Organisaties veranderen van eigenaar, domeinen wisselen van hand, maar de certificaatdata blijft geldig. Onderzoek van Google toonde aan dat 7% van alle certificaten was uitgegeven voor domeinen die niet meer onder controle van de certificaathouder stonden.
Automatisering is het eigenlijke doel. Handmatige processen zijn de belangrijkste oorzaak van certificaatstoringen. Alleen al in 2023 legden verlopen certificaten Starlinks grondstations plat, troffen ze 20.000 klanten van Cisco's SD-WAN en verstoorden ze delen van Microsofts clouddiensten. Als verlenging geautomatiseerd is, verlopen certificaten niet per ongeluk.
Wat betekent dit voor jouw website?
De impact hangt volledig af van hoe je SSL-certificaat nu wordt beheerd.
Zit je op managed hosting? Dan hoef je vrijwel zeker niets te doen. Managed hostingproviders regelen de SSL-certificaatvoorziening en -verlenging automatisch; dat is onderdeel van de dienst. Of ze nu Let's Encrypt, ZeroSSL of een andere ACME-compatibele CA gebruiken, de verlengingscyclus wordt in dagen gemeten, niet in maanden. Dit is een van die dingen die managed hosting onzichtbaar voor je afhandelt.
Gebruik je Let's Encrypt met geautomatiseerde verlenging? Dan loop je al voor. Let's Encrypt geeft sinds de lancering in 2015 certificaten uit met een geldigheid van 90 dagen. Hun redenering was precies dezelfde: beperk de schade bij compromittering en stimuleer automatisering. Ze gaan zelfs nog verder, met een overgang naar 45 dagen begin 2028 en al beschikbare 6-dagencertificaten voor volledig geautomatiseerde omgevingen.
Beheer je certificaten nog handmatig? Dan wordt het nu wel vervelend. Bij 200 dagen verleng je ruwweg elke zes maanden. Te doen, maar irritant. Bij 100 dagen (maart 2027) is het elk kwartaal. Bij 47 dagen (maart 2029) zit je elke zes tot zeven weken te verlengen, telkens met nieuwe domeinvalidatie. Zoals DigiCert het stelt: "Automatisering is feitelijk verplicht voor effectief certificaatbeheer."
Dit is trouwens ook weer een punt waar het verschil tussen goedkope hosting en managed hosting zichtbaar wordt. Bij een budgethoster moet je dit soort zaken vaak zelf regelen.
Wat je nu moet controleren
- Zoek uit hoe je SSL-certificaat wordt beheerd. Log in op je hostingpaneel of vraag het je hostingprovider. Als zij het automatisch regelen, ben je klaar.
- Controleer of je host ACME/Let's Encrypt ondersteunt. De meeste moderne hostingplatformen bieden automatische SSL. Als dat bij jouw host niet het geval is, is dat een waarschuwingssignaal. Het artikel over wat een website snel maakt legt uit waarom de TLS-laag ertoe doet.
- Beheer je certificaten handmatig? Stel dan nu Certbot of een andere ACME-client in, terwijl de deadlines nog comfortabel zijn. Wacht niet tot het 100-dagenlimiet in maart 2027 je dwingt.
- Als je OV- of EV-certificaten gebruikt: de hervalidatietermijnen voor organisatie-informatie dalen ook, van 825 naar 398 dagen per maart 2026. Houd daar rekening mee.
Vooruitblik
De richting is duidelijk. Handmatig certificaatbeheer wordt langzaam uitgefaseerd, niet door een verbod, maar doordat het zo onpraktisch wordt dat automatisering de enige houdbare optie is. Voor de meeste website-eigenaren op moderne hosting verandert er niets. Je host regelt het al.
Maar zit je nog in de groep die certificaten met de hand beheert? Dan is de 200-dagenlimiet een vriendelijke tik op de schouder. De 47-dagenlimiet in 2029 wordt een duw. Beter om nu te automatiseren, terwijl je er rustig de tijd voor hebt.