SSL/TLS-Zertifikate gelten nun maximal ein Jahr

Ab dem 1. September dieses Jahres können SSL/TLS-Zertifikate maximal für einen Zeitraum von 13 Monaten (397 Tage) ausgestellt werden. Diese Änderung hatte erstmals Apple auf der CA/Browser Forum Spring Face-to-Face Veranstaltung im März in Bratislava angekündigt. 

Ende Juni kündigte dann Google auf der virtuellen Sommer-Veranstaltung des CA/Browser Forums an, die Änderungen mit dem eigenen Root-Programm abzugleichen. 

Anzeige

Es läuft weiterhin eine von Browsern betriebene Abstimmung, mit der versucht werden soll, die Baseline Requirements der Branche an die Änderungen des Root-Programms anzupassen. Dieses Thema wird derzeit im Forum diskutiert.

Warum die verkürzte Lebensdauer von SSL/TLS-Zertifikaten?

Von einem theoretischen Standpunkt aus betrachtet, gibt es zwei wesentliche Vorteile von kurzlebigeren Zertifikaten:

Da ist zunächst die technische Komponente – eine längere Lebensdauer bedeutet gleichzeitig, dass es länger dauert Updates oder Änderungen organisch einzuspielen. Ein Beispiel aus der Praxis ist der Übergang von SHA1 zu SHA2. Wenn man nicht eine ganze Reihe von Zertifikaten widerrufen und den Kunden zur Neuausstellung zwingen will, kann es Jahre dauern, bis sämtliche alten Zertifikate ersetzt werden. Im Fall von SHA1 hat es drei Jahre gedauert. Ein Prozess der Risiken mit sich bringt. 

Der andere Vorteil einer kürzeren Lebensdauer hat mit Identität zu tun – wie lange sollten die zur Validierung einer Identität verwendeten Informationen vertrauenswürdig bleiben? Je ausgedehnter die Validierungsintervalle sind, desto größer ist das Risiko. Laut Google würde eine ideale Domain-Validierung etwa alle sechs Stunden erfolgen. 

Vor 2015 konnte man ein SSL/TLS-Zertifikat für bis zu fünf Jahre ausstellen. Daraus wurden 2018 erst drei, dann zwei Jahre. Ende 2019 schlug das CA/Browser Forum eine Abstimmung vor, um den Zeitraum auf ein Jahr zu verkürzen – der Vorschlag wurde jedoch von den Zertifizierungsstellen entschieden abgelehnt.

Warum ist die Lebensdauer von Zertifikaten auf ein Jahr reduziert worden?

Das CA/Browser-Forum ist ein Branchenzusammenschluss. Deren Mitglieder treffen sich, um über eine Reihe von Baseline Requirements für die Ausstellung vertrauenswürdiger digitaler Zertifikate abzustimmen. Allerdings handelt es sich dabei nicht um ein Leitgremium. Auch wenn die Zertifizierungsstellen Vorbehalte geäußert haben, die maximale Gültigkeit erneut zu verringern, sind Apple und Google durchaus berechtigt, die Richtlinien für ihre Root-Programme nach eigenem Ermessen zu aktualisieren. 

Wenn man einen Schritt zurückdenkt, sind Zertifizierungsstellen und Browser grundsätzlich voneinander abhängig. Browser müssen Zertifikate verwenden, um Vertrauensentscheidungen über Websites zu treffen und um bei der Sicherung von Verbindungen zu helfen. Was nützt ein öffentliches Zertifikat auf CA-Seite, wenn es von einem Browser nicht als vertrauenswürdig eingestuft wird?

Der gesamte Prozess wird über die Root-Programme gehandhabt. Es gibt vier wichtige Root-Programme:

Übrigens stehen diese vier auch auf Desktop- und Mobilgeräten hinter den wichtigsten Browsern. Damit die Zertifikate einer Zertifizierungsstelle von den Root-Programmen und damit auch von den Browsern und Betriebssystemen, die sie verwenden, als vertrauenswürdig eingestuft werden, muss sie sich an die Richtlinien dieses Root-Programms halten. Das CA/B-Forum ist ein Branchenforum, das im Idealfall dazu beiträgt, Änderungen an den Root-Programmen zu erleichtern. 

Die Root-Programme, die als Browser teilnehmen, können jedoch weiterhin einseitig agieren und Änderungen auch nach eigenem Ermessen vornehmen. Wenn das geschieht, werden die Richtlinien desjenigen Root-Programms mit den strengsten Normen zur neuen tatsächlichen Baseline-Requirement. Das liegt in der Notwendigkeit zur Interoperabilität begründet. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was die kürzere SSL/TLS-Gültigkeit für Website-Betreiber heißt

Die neue Gültigkeitsdauer tritt ab 1. September 2020 in Kraft. Wenn Sie also ein Zertifikat mit zweijähriger Gültigkeit verwenden, das vor dem 1. September ausgestellt wurde, bleibt Ihr Zertifikat bis zum ursprünglichen Ablaufdatum gültig. Bei Ablauf kann man es dann nicht mehr um zwei weitere Jahre verlängern. Grundsätzlich heißt das, dass Sie bis zum 1. September Zeit haben, um Zertifikate mit zweijähriger Gültigkeit zu erwerben. Danach werden sie nicht mehr ausgestellt. 

In einem größeren Zusammenhang ist das ein guter Zeitpunkt, um über die Automatisierung weiterer Funktionen des Lebenszyklusmanagements von Zertifikaten nachzudenken. Das ist insbesondere wichtig, wenn Sie Dutzende von öffentlich vertrauenswürdigen Website- oder E-Mail-Zertifikate verwenden, sowie eine private CA oder PKI-basierte elektronische Signaturen einsetzen. Möglicherweise erwägen Sie auch, einige Zertifikate von öffentlichem zu privatem Vertrauen zu ändern, was auch bei der Verwaltung hilfreich ist. Mit dieser Methode lassen sich sogar Zertifikate mit längerer Gültigkeitsdauer ausstellen. 

Andernfalls werden Organisationen, so wie die Root-Programme weiterhin auf eine kürzere Gültigkeitsdauer drängen und wahrscheinlich in Zukunft gezwungen sein, Vorgänge an vielen Stellen stärker zu automatisieren. 

Es empfiehlt sich also, diese Bereiche besser jetzt schon genauer zu betrachten und nicht erst, wenn man dazu gezwungen ist. 

Wie Zertifizierungsstellen die Ein-Jahres-Zertifikate handhaben 

Der Einfachheit halber bietet beispielsweise GlobalSign SSL/TLS-Kunden die maximale Gültigkeit von 397 Tagen an, wenn sie Ein-Jahres-Zertifikate bestellen, das am 31. August beginnt. Dies gilt für Neubestellungen und Verlängerungen, um Kunde eine maximale Gültigkeitsdauer anzubieten.

Es empfiehlt sich, bedingt durch die Neuerungen, Zertifikate innerhalb von 30 Tagen vor Ablauf zu erneuern. 

Wie sieht es mit der Neuausstellung von Zertifikaten aus?

Sie fragen sich vielleicht, was passiert, wenn Sie ein Zweijahreszertifikat neu ausstellen, nachdem die Änderung in Kraft getreten ist. Wenn Sie ein Zertifikat neu ausstellen und Gültigkeit verlieren (Zertifizierungsstellen sind verpflichtet, die Gültigkeit auf 397 Tage zu begrenzen), können Sie das Zertifikat zu einem späteren Zeitpunkt neu ausstellen – idealerweise weniger als 397 Tage vor Ablauf der Gültigkeit des ursprünglichen Zertifikats – und dadurch die verlorene Gültigkeit von der ersten Neuausstellung wiedererlangen! Das funktioniert wie schon im Jahr 2018, als die maximale Gültigkeitsdauer von drei Jahren auf zwei Jahre gesenkt wurde.

Zu beachten ist, dass der Prozess der EV-Neuausstellung aufgrund der Anforderungen der EV-Guidelines (EVGL) für die Neuausstellung von Zertifikaten etwas anders ist.  Sie können Zertifikate zwar immer noch neu ausstellen, aber sie werden zur manuellen Überprüfung in die Warteschlange gestellt, und die betreffende CA muss sicher sein, dass alle Validierungen auf dem neuesten Stand sind, bevor sie die Zertifikate freigeben kann.

Patrick Nohe, Senior Product Marketing Manager bei GlobalSign, www.globalsign.wis.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.