Registratie voor Nomios Next is nu live! Schrijf je in voor hèt cybersecurity event van 2026. Meer info

Neem contact op
Quantum Security PKI

Van 47-daagse certificaten naar Post-Quantum Readiness

Sjaak Lemmers
Placeholder for Sjaak lemmersSjaak lemmers

Sjaak Lemmers , Segment Lead Digital Trust , Nomios Nederland

6 min. leestijd
Placeholder for Twee engineers werken aan certificatenTwee engineers werken aan certificaten
DigiCert

Share

Public Key Infrastructure (PKI) stond bij veel organisaties lange tijd bekend als een vrij stabiel onderdeel van de IT- en security-infrastructuur. Certificaten worden uitgegeven, vernieuwd en vervangen volgens vaste ITSM-processen, met een ritme dat voor de meeste teams goed te overzien is. De tijdsbesteding was onderdeel van het allerdaagse werk rondom webserver beheer. Dat beeld verandert nu snel.

Twee ontwikkelingen zorgen ervoor dat organisaties opnieuw moeten kijken naar hun PKI-strategie, hun beheerprocessen en hun voorbereiding op wat er de komende jaren op hen afkomt.

Certificaten vernieuwen wordt een maandelijkse taak

De eerste ontwikkeling is de sterke verkorting van de geldigheidsduur van TLS/SSL-certificaten. Alle appliances en webservers die het internet raken en voorzien zijn van certificaten om identiteiten en encryptie te initiëren, hebben hiermee te maken.  Waar certificaten voorheen een geldigheid hadden van 400 dagen hadden, beweegt de markt richting een situatie waarin certificaten uiteindelijk nog maar 47 dagen geldig zijn. Omdat je als beheerder niet altijd op de laatste dag van een certificaat geldigheid een change kon inplannen werd enige ruimte ingepast zodat je op tijd het certificaat had vervangen. Dat betekent in de nieuwe situatie dat certificaten met 47 dagen geldigheid eigenlijk iedere maand vernieuwd, gevalideerd en uitgerold moeten worden. Met een “rule of thumb” van gemiddeld 4 uur totale werkzaamheden per certificaat moet je in de toekomst dus rekening houden met twaalf keer 4 uur per certificaat.

Post-Quantum Cryptography staat voor de deur

De tweede ontwikkeling is de noodzaak van Post-Quantum Cryptography (PQC). Vanuit de regelgeving groeit de druk om de huidig veel gebruikte RSA- en ECDSA-encryptie in certificaten terug te dringen omdat de verwachte komst van de quantumcomputer deze exponentieel sneller zal kunnen kraken. Daarbij speelt ook het risico van harvest now, decrypt later. Gegevens die vandaag worden onderschept, kunnen in de toekomst mogelijk alsnog worden ontsleuteld zodra quantum computing daar krachtig genoeg voor is. Nu de PQC-standaarden beschikbaar zijn, groeit de druk om cryptografische afhankelijkheden in kaart te brengen en de infrastructuur klaar te maken voor een gefaseerde overgang.

Samen maken deze ontwikkelingen duidelijk dat traditionele, handmatige PKI-processen niet meer vanzelfsprekend houdbaar zijn.

Kortere certificaatlooptijden vragen om een andere aanpak

De verkorting van certificaatlooptijden lijkt op het eerste gezicht vooral een technische of administratieve wijziging. In de praktijk heeft dit directe gevolgen voor operations, security en compliance. Minder geldigheidsdagen betekent:

  • Meer renewals per jaar;
  • Meer druk op validatieprocessen;
  • Grotere afhankelijkheid van foutloze uitrol.

Dat raakt niet alleen het team dat certificaten beheert. Ook netwerkbeheer, cloud operations, platformteams en securityteams krijgen hiermee te maken. Certificaten zitten immers overal: in webomgevingen, API’s, load balancers, cloudplatformen, interne services en netwerkcomponenten. Hoe groter en complexer de omgeving is, hoe sneller de belasting oploopt wanneer de levensduur van certificaten afneemt.

Kortere certificaatlooptijden zorgen in de praktijk voor meer renewals, meer deployments en meer druk op beheerprocessen. Organisaties die nog sterk afhankelijk zijn van handmatige stappen lopen daardoor meer risico op verstoringen, fouten en compliance-problemen.

Niet alleen certificaten, ook validatieprocessen komen onder druk te staan

De impact zit bovendien niet alleen in het vervangen van certificaten zelf. Ook de processen rondom Domain Validatie (DV) worden zwaarder. Het CA/Browser Forum regelt de Domain Validatie op het Internet en heeft ook de geldigheidsduur van de Domain Validatie gelijk laten lopen met de certificaatlevensduur. Wanneer certificaten vaker vernieuwd moeten worden, moeten organisaties ook vaker aantonen dat domeinen nog steeds onder hun controle vallen. Het handmatig aanmaken van DNS-records is hierdoor foutgevoelig en tijdsintensief geworden en vraagt om processen die schaalbaar en betrouwbaar zijn.

Voor organisaties die nog werken met losse mailboxen, handmatige controles of beperkte documentatie, kan dat al snel een knelpunt worden. Wat voorheen nog werkbaar leek, verandert dan in een terugkerende operationele belasting. Daarmee verschuift PKI van een puur technisch beheeronderwerp naar een proces dat nauwer verbonden raakt met governance, automation en continuïteit.

icon Idea

Wil je hier dieper op in? In het webinar van Nomios en DigiCert op 20 mei laten we zien wat deze ontwikkelingen concreet betekenen voor PKI-beheer en welke stappen organisaties nu kunnen zetten.

Aanmelden webinar

Handmatig certificaatbeheer wordt steeds kwetsbaarder

Veel organisaties hebben certificaatbeheer door de jaren heen pragmatisch ingericht. Een deel zit in tools, een deel in documentatie en een deel in de kennis van individuele beheerders. Dat kan lang goed gaan, zolang volumes beheersbaar blijven en de frequentie laag genoeg is. Bij 47-daagse certificaten verandert die balans.

Een gemist certificaat, een fout in renewal of een vertraagde uitrol kan dan sneller directe impact hebben op beschikbaarheid. Ook wordt het moeilijker om aantoonbaar grip te houden op eigenaarschap, policies en lifecycle management. Zeker in grotere omgevingen wordt het zonder centrale inventarisatie en automatisering steeds lastiger om overzicht te behouden.

De vraag is daarom niet alleen hoe je certificaten sneller vernieuwt. De echte vraag is hoe je certificaatbeheer structureel schaalbaar en beheersbaar maakt.

Post-Quantum is niet alleen een toekomstvraag

Tegelijk groeit de druk om verder te kijken dan het operationele vraagstuk van certificaatvernieuwing. Met de komst van Post-Quantum Cryptography ontstaat een nieuwe fase in hoe organisaties naar cryptografie moeten kijken.

Voor veel organisaties voelt PQC nog als iets voor later. Toch is dat te eenvoudig. Eerdere cryptografische transities hebben laten zien dat dit soort veranderingen jaren kunnen duren, zeker in omgevingen met legacy-systemen, verschillende leveranciers en veel onderlinge afhankelijkheden. De overstap naar PQC zal naar verwachting nog complexer zijn, juist omdat cryptografie op zoveel plekken verweven zit in infrastructuur, applicaties en communicatie.

Daar komt het risico van ‘harvest now, decrypt later’ bij. Voor organisaties met gevoelige data en lange bewaartermijnen is dat een relevant aandachtspunt. Het gaat dan om gegevens die vandaag misschien veilig versleuteld lijken, maar later alsnog blootgesteld kunnen worden als aanvallers nu al data verzamelen met het oog op toekomstige decryptie.

Dit maakt Crypto Agility een logisch vertrekpunt

De combinatie van kortere certificaatlooptijden en post-quantum readiness maakt één onderwerp steeds relevanter: Crypto Agility.

Crypto Agility betekent dat je infrastructuur, processen en tooling zo zijn ingericht dat je cryptografische algoritmes en standaarden kunt aanpassen zonder dat je telkens grote delen van de omgeving opnieuw moet ontwerpen of vervangen. Dat is geen theoretisch ideaal meer, maar steeds meer een praktische randvoorwaarde.

Zonder Crypto Agility wordt elke verandering een apart traject. Met Crypto Agility bouw je juist aan een omgeving waarin je sneller kunt reageren op nieuwe standaarden, compliance-eisen en technologische ontwikkelingen. Dat helpt niet alleen bij de voorbereiding op PQC, maar ook bij de uitdagingen die nu al ontstaan door kortere certificaatlooptijden.

Automation is nodig om grip te houden

Wie PKI toekomstbestendig wil maken, ontkomt niet aan automation. Niet omdat automation een doel op zich is, maar omdat handmatig beheer op termijn simpelweg niet meer schaalbaar is.

Automation helpt om uitgifte, renewal, deployment en monitoring beter te organiseren. Het verkleint de afhankelijkheid van losse handmatige stappen en maakt certificaatbeheer consistenter en beter beheersbaar. Ook helpt het om sneller te reageren op expiraties, beleidswijzigingen en operationele risico’s.

Dat betekent niet dat alles direct volledig geautomatiseerd moet zijn. In de praktijk begint dit meestal met beter inzicht: weten welke certificaten er zijn, waar ze gebruikt worden, wie eigenaar is en welke processen nog handmatig verlopen. Van daaruit kunnen organisaties gericht kijken naar lifecycle-management, centrale policies, alerts en geautomatiseerde uitrol.

PKI moderniseren is geen los projectje meer

Wat deze ontwikkelingen laten zien, is dat PKI niet langer een geïsoleerd onderwerp is. 47-daagse certificaten, Crypto Agility, automation en Post-Quantum Readiness hangen in de praktijk nauw met elkaar samen. Wie alleen kijkt naar certificaatvernieuwing, mist het grotere plaatje. Wie alleen kijkt naar Post-Quantum, onderschat de operationele druk die nu al ontstaat.

De echte opgave is daarom breder: hoe maak je PKI schaalbaar, beheersbaar en toekomstbestendig in een omgeving waarin cryptografische eisen sneller veranderen dan voorheen? Dat vraagt niet alleen om tooling, maar ook om duidelijke keuzes in governance, eigenaarschap en procesinrichting.

Organisaties die daar nu mee starten, hebben meer ruimte om gecontroleerd te moderniseren. Organisaties die wachten, lopen een groter risico dat meerdere veranderingen tegelijk samenkomen.

Meer weten? Meld je aan voor het webinar

Wil je beter begrijpen wat 47-daagse certificaten betekenen voor je organisatie, hoe je het risico van harvest now, decrypt later moet beoordelen en welke rol automation speelt in Crypto Agility en Post-Quantum Readiness?

Meld je dan aan voor het webinar van Nomios en DigiCert op 20 mei. Daar gaan we dieper in op de impact op PKI-beheer, de risico’s van handmatige processen en de praktische stappen richting een toekomstbestendige aanpak.

Aanmelden webinar
Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates

Placeholder for Shadow ITShadow IT
Infoblox

Preemptive Security

Aanvallen beginnen buiten jouw netwerk. Beveiliging ook.

Phishing-pagina's, nepprofielen van executives, gelekte inloggegevens op het dark web – de meeste aanvallen nemen al een concrete vorm aan lang voordat ze jouw netwerk raken. Toch richt traditionele beveiliging zich grotendeels op wat er ná die grens gebeurt. Infoblox kiest een andere koers.

Michel Geensen
Placeholder for Michel-GeensenMichel-Geensen

Michel Geensen

1 min. leestijd
Placeholder for Adobe Stock 1278998477Adobe Stock 1278998477

Quantum Security PKI

PKI voorbereiden op de post-quantum transitie

PKI is een van de meest complexe onderdelen van de post-quantum transitie. Ontdek waarom certificaatinfrastructuur vroeg aandacht vraagt en waar jouw organisatie nu op moet focussen.

Priyanka Gahilot
Placeholder for PriyankaPriyanka

Priyanka Gahilot

4 min. leestijd
Placeholder for Nomios Guardian x MDRNomios Guardian x MDR
Palo Alto Networks

MDR

Nomios lanceert Guardian xMDR: enterprise-grade managed detection and response

Onze nieuwe gestandaardiseerde MDR-service combineert Cortex XDR, een SOC in Nederland en transparante, tiergebaseerde prijsstelling — zodat organisaties van iedere omvang volwassen managed security kunnen inzetten.

2 min. leestijd
Alle artikelen