Anzeige

SSL/TLS-Zertifikate

Ab dem 1. September dieses Jahres können SSL/TLS-Zertifikate maximal für einen Zeitraum von 13 Monaten (397 Tage) ausgestellt werden. Diese Änderung hatte erstmals Apple auf der CA/Browser Forum Spring Face-to-Face Veranstaltung im März in Bratislava angekündigt. 

Ende Juni kündigte dann Google auf der virtuellen Sommer-Veranstaltung des CA/Browser Forums an, die Änderungen mit dem eigenen Root-Programm abzugleichen. 

Es läuft weiterhin eine von Browsern betriebene Abstimmung, mit der versucht werden soll, die Baseline Requirements der Branche an die Änderungen des Root-Programms anzupassen. Dieses Thema wird derzeit im Forum diskutiert.

Warum die verkürzte Lebensdauer von SSL/TLS-Zertifikaten?

Von einem theoretischen Standpunkt aus betrachtet, gibt es zwei wesentliche Vorteile von kurzlebigeren Zertifikaten:

Da ist zunächst die technische Komponente - eine längere Lebensdauer bedeutet gleichzeitig, dass es länger dauert Updates oder Änderungen organisch einzuspielen. Ein Beispiel aus der Praxis ist der Übergang von SHA1 zu SHA2. Wenn man nicht eine ganze Reihe von Zertifikaten widerrufen und den Kunden zur Neuausstellung zwingen will, kann es Jahre dauern, bis sämtliche alten Zertifikate ersetzt werden. Im Fall von SHA1 hat es drei Jahre gedauert. Ein Prozess der Risiken mit sich bringt. 

Der andere Vorteil einer kürzeren Lebensdauer hat mit Identität zu tun - wie lange sollten die zur Validierung einer Identität verwendeten Informationen vertrauenswürdig bleiben? Je ausgedehnter die Validierungsintervalle sind, desto größer ist das Risiko. Laut Google würde eine ideale Domain-Validierung etwa alle sechs Stunden erfolgen. 

Vor 2015 konnte man ein SSL/TLS-Zertifikat für bis zu fünf Jahre ausstellen. Daraus wurden 2018 erst drei, dann zwei Jahre. Ende 2019 schlug das CA/Browser Forum eine Abstimmung vor, um den Zeitraum auf ein Jahr zu verkürzen – der Vorschlag wurde jedoch von den Zertifizierungsstellen entschieden abgelehnt.

Warum ist die Lebensdauer von Zertifikaten auf ein Jahr reduziert worden?

Das CA/Browser-Forum ist ein Branchenzusammenschluss. Deren Mitglieder treffen sich, um über eine Reihe von Baseline Requirements für die Ausstellung vertrauenswürdiger digitaler Zertifikate abzustimmen. Allerdings handelt es sich dabei nicht um ein Leitgremium. Auch wenn die Zertifizierungsstellen Vorbehalte geäußert haben, die maximale Gültigkeit erneut zu verringern, sind Apple und Google durchaus berechtigt, die Richtlinien für ihre Root-Programme nach eigenem Ermessen zu aktualisieren. 

Wenn man einen Schritt zurückdenkt, sind Zertifizierungsstellen und Browser grundsätzlich voneinander abhängig. Browser müssen Zertifikate verwenden, um Vertrauensentscheidungen über Websites zu treffen und um bei der Sicherung von Verbindungen zu helfen. Was nützt ein öffentliches Zertifikat auf CA-Seite, wenn es von einem Browser nicht als vertrauenswürdig eingestuft wird?

Der gesamte Prozess wird über die Root-Programme gehandhabt. Es gibt vier wichtige Root-Programme:

Übrigens stehen diese vier auch auf Desktop- und Mobilgeräten hinter den wichtigsten Browsern. Damit die Zertifikate einer Zertifizierungsstelle von den Root-Programmen und damit auch von den Browsern und Betriebssystemen, die sie verwenden, als vertrauenswürdig eingestuft werden, muss sie sich an die Richtlinien dieses Root-Programms halten. Das CA/B-Forum ist ein Branchenforum, das im Idealfall dazu beiträgt, Änderungen an den Root-Programmen zu erleichtern. 

Die Root-Programme, die als Browser teilnehmen, können jedoch weiterhin einseitig agieren und Änderungen auch nach eigenem Ermessen vornehmen. Wenn das geschieht, werden die Richtlinien desjenigen Root-Programms mit den strengsten Normen zur neuen tatsächlichen Baseline-Requirement. Das liegt in der Notwendigkeit zur Interoperabilität begründet. 

Was die kürzere SSL/TLS-Gültigkeit für Website-Betreiber heißt

Die neue Gültigkeitsdauer tritt ab 1. September 2020 in Kraft. Wenn Sie also ein Zertifikat mit zweijähriger Gültigkeit verwenden, das vor dem 1. September ausgestellt wurde, bleibt Ihr Zertifikat bis zum ursprünglichen Ablaufdatum gültig. Bei Ablauf kann man es dann nicht mehr um zwei weitere Jahre verlängern. Grundsätzlich heißt das, dass Sie bis zum 1. September Zeit haben, um Zertifikate mit zweijähriger Gültigkeit zu erwerben. Danach werden sie nicht mehr ausgestellt. 

In einem größeren Zusammenhang ist das ein guter Zeitpunkt, um über die Automatisierung weiterer Funktionen des Lebenszyklusmanagements von Zertifikaten nachzudenken. Das ist insbesondere wichtig, wenn Sie Dutzende von öffentlich vertrauenswürdigen Website- oder E-Mail-Zertifikate verwenden, sowie eine private CA oder PKI-basierte elektronische Signaturen einsetzen. Möglicherweise erwägen Sie auch, einige Zertifikate von öffentlichem zu privatem Vertrauen zu ändern, was auch bei der Verwaltung hilfreich ist. Mit dieser Methode lassen sich sogar Zertifikate mit längerer Gültigkeitsdauer ausstellen. 

Andernfalls werden Organisationen, so wie die Root-Programme weiterhin auf eine kürzere Gültigkeitsdauer drängen und wahrscheinlich in Zukunft gezwungen sein, Vorgänge an vielen Stellen stärker zu automatisieren. 

Es empfiehlt sich also, diese Bereiche besser jetzt schon genauer zu betrachten und nicht erst, wenn man dazu gezwungen ist. 

Wie Zertifizierungsstellen die Ein-Jahres-Zertifikate handhaben 

Der Einfachheit halber bietet beispielsweise GlobalSign SSL/TLS-Kunden die maximale Gültigkeit von 397 Tagen an, wenn sie Ein-Jahres-Zertifikate bestellen, das am 31. August beginnt. Dies gilt für Neubestellungen und Verlängerungen, um Kunde eine maximale Gültigkeitsdauer anzubieten.

Es empfiehlt sich, bedingt durch die Neuerungen, Zertifikate innerhalb von 30 Tagen vor Ablauf zu erneuern. 

Wie sieht es mit der Neuausstellung von Zertifikaten aus?

Sie fragen sich vielleicht, was passiert, wenn Sie ein Zweijahreszertifikat neu ausstellen, nachdem die Änderung in Kraft getreten ist. Wenn Sie ein Zertifikat neu ausstellen und Gültigkeit verlieren (Zertifizierungsstellen sind verpflichtet, die Gültigkeit auf 397 Tage zu begrenzen), können Sie das Zertifikat zu einem späteren Zeitpunkt neu ausstellen - idealerweise weniger als 397 Tage vor Ablauf der Gültigkeit des ursprünglichen Zertifikats - und dadurch die verlorene Gültigkeit von der ersten Neuausstellung wiedererlangen! Das funktioniert wie schon im Jahr 2018, als die maximale Gültigkeitsdauer von drei Jahren auf zwei Jahre gesenkt wurde.

Zu beachten ist, dass der Prozess der EV-Neuausstellung aufgrund der Anforderungen der EV-Guidelines (EVGL) für die Neuausstellung von Zertifikaten etwas anders ist.  Sie können Zertifikate zwar immer noch neu ausstellen, aber sie werden zur manuellen Überprüfung in die Warteschlange gestellt, und die betreffende CA muss sicher sein, dass alle Validierungen auf dem neuesten Stand sind, bevor sie die Zertifikate freigeben kann.

Patrick Nohe, Senior Product Marketing Manager bei GlobalSign, www.globalsign.wis.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Deutsche Bank
Jul 07, 2020

Deutsche Bank holt sich Google als IT-Partner

Traditionelle Geldhäuser schleppen häufig eine gewaltige Altlast mit sich herum: eine IT,…
Microsoft Teams
Jul 05, 2020

Sichere Teamarbeit mit Microsoft Teams

Eine Pandemie hält seit Monaten die Welt in Atem. Viele Arbeitnehmer in Deutschland waren…
Callcenter
Jun 05, 2020

Callcenter aus dem Browser

Geschlossene Filialen, Abstandsregelung und überlastete Callcenter-Mitarbeiter im…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!