TLS wijzigingen per 15 maart 2026: waarom nú voorbereiden belangrijk is

Op 15 maart 2026 voeren Certification Authority en Browser vendoren (o.a. Google, Apple, Mozilla, Microsoft) ingrijpende wijzigingen door in de TLS Baseline Requirements. Deze aanpassingen hebben directe gevolgen voor iedereen die gebruikmaakt van publieke TLS-certificaten.

"TLS-compliance in 2026 vraagt meer dan goede intenties: DNSSEC en CLM zijn geen optie, maar verplicht"

Waarom komen deze wijzigingen er?

Deze stappen zijn bedoeld om het vertrouwen en de veiligheid van het internet verder te vergroten. Kortere certificaat levensduren en strengere validatie verkleinen de impact van misbruik, maar ze hebben ook een keerzijde:

  • Handmatig certificaatbeheer wordt complex en foutgevoelig
  • Het risico op verlopen certificaten en downtime neemt toe
  • Druk op security- en compliance stijgt

Organisaties die nu al worstelen met certificaatbeheer, zullen dit na maart 2026 nog sterker ervaren.

In deze blog leg ik uit wat er verandert, waarom dit belangrijk is en hoe je hier op kunt voorbereiden.

Wat verandert er per 15 maart 2026?

  1. DNSSEC-validatie wordt verplicht

    Vanaf deze datum is DNSSEC-validatie een harde vereiste voor zowel domeinvalidatie (DV) als CAA-checks.

    Dit betekent concreet:

    • Domeinen zonder correct ingerichte DNSSEC kunnen geen TLS-certificaat meer krijgen
    • Certificaataanvragen mislukken automatisch bij ontbrekende of foutieve DNSSEC-configuraties

    De juiste DNSSEC configuratie is daarmee niet langer “best practice”, maar een vereiste.

  2. Kortere geldigheid van TLS-certificaten

    De maximale geldigheid van publieke TLS-certificaten wordt gehalveerd:

    • Van 398 dagen
    • Naar maximaal 200 dagen
    • Na 15 maart 2027 naar 100 dagen

    Dit betekent:

    • Vaker vernieuwen
    • Meerdere certificaatwissels per jaar
    • Grotere kans op fouten bij handmatige processen

    Zonder automatisering neemt de extra werkdruk toe vanwege het bijhouden van de certificaten.

  3. Beperkt hergebruik van validatiegegevens

    Ook de periode waarin bestaande validatiegegevens (zoals domein- of organisatievalidatie) hergebruikt mogen worden, wordt beperkt tot maximaal 200 dagen.

    Gevolgen:

    • Validaties moeten vaker opnieuw uitgevoerd worden
    • Minder ruimte voor “even snel” een certificaat heruitgeven
    • Hogere administratieve last zonder gestroomlijnde tooling

    Automatisering is geen luxe meer, maar noodzaak.

    Om compliant te blijven én operationele continuïteit te waarborgen, is Certificate Lifecycle Management (CLM) essentieel.
    Denk aan:

    • Automatische aanvraag, verlenging en uitrol van certificaten
    • Continue monitoring op verlopen of foutieve certificaten
    • Integratie met DNS, load balancers en cloudomgevingen
    • Volledige audit- en compliance-rapportage

    Met CLM voorkom je menselijke fouten, verlaag je risico’s en houd je grip op je security landschap.

Hoe bereid je je nu al voor?

De deadline van 15 maart 2026 lijkt ver weg, maar in de praktijk is dit hét moment om te starten:

  1. Controleer of DNSSEC correct is ingericht voor al je domeinen
  2. Inventariseer alle TLS-certificaten binnen je organisatie
  3. Stap over op geautomatiseerd certificaatbeheer
  4. Test je processen ruim vóór de deadline

Wil je zeker weten dat jouw organisatie klaar is voor 15 maart 2026?
Neem dan contact met mij op voor advies over:

  • DNSSEC-implementatie en validatie
  • Inrichting van Certificate Lifecycle Management
  • Automatisering van TLS-certificaten in complexe omgevingen
  • Voorbereiding op compliance met de nieuwe TLS-eisen