Anzeige

SSL/TLS-Zertifikate

Ab dem 1. September dieses Jahres können SSL/TLS-Zertifikate maximal für einen Zeitraum von 13 Monaten (397 Tage) ausgestellt werden. Diese Änderung hatte erstmals Apple auf der CA/Browser Forum Spring Face-to-Face Veranstaltung im März in Bratislava angekündigt. 

Ende Juni kündigte dann Google auf der virtuellen Sommer-Veranstaltung des CA/Browser Forums an, die Änderungen mit dem eigenen Root-Programm abzugleichen. 

Es läuft weiterhin eine von Browsern betriebene Abstimmung, mit der versucht werden soll, die Baseline Requirements der Branche an die Änderungen des Root-Programms anzupassen. Dieses Thema wird derzeit im Forum diskutiert.

Warum die verkürzte Lebensdauer von SSL/TLS-Zertifikaten?

Von einem theoretischen Standpunkt aus betrachtet, gibt es zwei wesentliche Vorteile von kurzlebigeren Zertifikaten:

Da ist zunächst die technische Komponente - eine längere Lebensdauer bedeutet gleichzeitig, dass es länger dauert Updates oder Änderungen organisch einzuspielen. Ein Beispiel aus der Praxis ist der Übergang von SHA1 zu SHA2. Wenn man nicht eine ganze Reihe von Zertifikaten widerrufen und den Kunden zur Neuausstellung zwingen will, kann es Jahre dauern, bis sämtliche alten Zertifikate ersetzt werden. Im Fall von SHA1 hat es drei Jahre gedauert. Ein Prozess der Risiken mit sich bringt. 

Der andere Vorteil einer kürzeren Lebensdauer hat mit Identität zu tun - wie lange sollten die zur Validierung einer Identität verwendeten Informationen vertrauenswürdig bleiben? Je ausgedehnter die Validierungsintervalle sind, desto größer ist das Risiko. Laut Google würde eine ideale Domain-Validierung etwa alle sechs Stunden erfolgen. 

Vor 2015 konnte man ein SSL/TLS-Zertifikat für bis zu fünf Jahre ausstellen. Daraus wurden 2018 erst drei, dann zwei Jahre. Ende 2019 schlug das CA/Browser Forum eine Abstimmung vor, um den Zeitraum auf ein Jahr zu verkürzen – der Vorschlag wurde jedoch von den Zertifizierungsstellen entschieden abgelehnt.

Warum ist die Lebensdauer von Zertifikaten auf ein Jahr reduziert worden?

Das CA/Browser-Forum ist ein Branchenzusammenschluss. Deren Mitglieder treffen sich, um über eine Reihe von Baseline Requirements für die Ausstellung vertrauenswürdiger digitaler Zertifikate abzustimmen. Allerdings handelt es sich dabei nicht um ein Leitgremium. Auch wenn die Zertifizierungsstellen Vorbehalte geäußert haben, die maximale Gültigkeit erneut zu verringern, sind Apple und Google durchaus berechtigt, die Richtlinien für ihre Root-Programme nach eigenem Ermessen zu aktualisieren. 

Wenn man einen Schritt zurückdenkt, sind Zertifizierungsstellen und Browser grundsätzlich voneinander abhängig. Browser müssen Zertifikate verwenden, um Vertrauensentscheidungen über Websites zu treffen und um bei der Sicherung von Verbindungen zu helfen. Was nützt ein öffentliches Zertifikat auf CA-Seite, wenn es von einem Browser nicht als vertrauenswürdig eingestuft wird?

Der gesamte Prozess wird über die Root-Programme gehandhabt. Es gibt vier wichtige Root-Programme:

Übrigens stehen diese vier auch auf Desktop- und Mobilgeräten hinter den wichtigsten Browsern. Damit die Zertifikate einer Zertifizierungsstelle von den Root-Programmen und damit auch von den Browsern und Betriebssystemen, die sie verwenden, als vertrauenswürdig eingestuft werden, muss sie sich an die Richtlinien dieses Root-Programms halten. Das CA/B-Forum ist ein Branchenforum, das im Idealfall dazu beiträgt, Änderungen an den Root-Programmen zu erleichtern. 

Die Root-Programme, die als Browser teilnehmen, können jedoch weiterhin einseitig agieren und Änderungen auch nach eigenem Ermessen vornehmen. Wenn das geschieht, werden die Richtlinien desjenigen Root-Programms mit den strengsten Normen zur neuen tatsächlichen Baseline-Requirement. Das liegt in der Notwendigkeit zur Interoperabilität begründet. 

Was die kürzere SSL/TLS-Gültigkeit für Website-Betreiber heißt

Die neue Gültigkeitsdauer tritt ab 1. September 2020 in Kraft. Wenn Sie also ein Zertifikat mit zweijähriger Gültigkeit verwenden, das vor dem 1. September ausgestellt wurde, bleibt Ihr Zertifikat bis zum ursprünglichen Ablaufdatum gültig. Bei Ablauf kann man es dann nicht mehr um zwei weitere Jahre verlängern. Grundsätzlich heißt das, dass Sie bis zum 1. September Zeit haben, um Zertifikate mit zweijähriger Gültigkeit zu erwerben. Danach werden sie nicht mehr ausgestellt. 

In einem größeren Zusammenhang ist das ein guter Zeitpunkt, um über die Automatisierung weiterer Funktionen des Lebenszyklusmanagements von Zertifikaten nachzudenken. Das ist insbesondere wichtig, wenn Sie Dutzende von öffentlich vertrauenswürdigen Website- oder E-Mail-Zertifikate verwenden, sowie eine private CA oder PKI-basierte elektronische Signaturen einsetzen. Möglicherweise erwägen Sie auch, einige Zertifikate von öffentlichem zu privatem Vertrauen zu ändern, was auch bei der Verwaltung hilfreich ist. Mit dieser Methode lassen sich sogar Zertifikate mit längerer Gültigkeitsdauer ausstellen. 

Andernfalls werden Organisationen, so wie die Root-Programme weiterhin auf eine kürzere Gültigkeitsdauer drängen und wahrscheinlich in Zukunft gezwungen sein, Vorgänge an vielen Stellen stärker zu automatisieren. 

Es empfiehlt sich also, diese Bereiche besser jetzt schon genauer zu betrachten und nicht erst, wenn man dazu gezwungen ist. 

Wie Zertifizierungsstellen die Ein-Jahres-Zertifikate handhaben 

Der Einfachheit halber bietet beispielsweise GlobalSign SSL/TLS-Kunden die maximale Gültigkeit von 397 Tagen an, wenn sie Ein-Jahres-Zertifikate bestellen, das am 31. August beginnt. Dies gilt für Neubestellungen und Verlängerungen, um Kunde eine maximale Gültigkeitsdauer anzubieten.

Es empfiehlt sich, bedingt durch die Neuerungen, Zertifikate innerhalb von 30 Tagen vor Ablauf zu erneuern. 

Wie sieht es mit der Neuausstellung von Zertifikaten aus?

Sie fragen sich vielleicht, was passiert, wenn Sie ein Zweijahreszertifikat neu ausstellen, nachdem die Änderung in Kraft getreten ist. Wenn Sie ein Zertifikat neu ausstellen und Gültigkeit verlieren (Zertifizierungsstellen sind verpflichtet, die Gültigkeit auf 397 Tage zu begrenzen), können Sie das Zertifikat zu einem späteren Zeitpunkt neu ausstellen - idealerweise weniger als 397 Tage vor Ablauf der Gültigkeit des ursprünglichen Zertifikats - und dadurch die verlorene Gültigkeit von der ersten Neuausstellung wiedererlangen! Das funktioniert wie schon im Jahr 2018, als die maximale Gültigkeitsdauer von drei Jahren auf zwei Jahre gesenkt wurde.

Zu beachten ist, dass der Prozess der EV-Neuausstellung aufgrund der Anforderungen der EV-Guidelines (EVGL) für die Neuausstellung von Zertifikaten etwas anders ist.  Sie können Zertifikate zwar immer noch neu ausstellen, aber sie werden zur manuellen Überprüfung in die Warteschlange gestellt, und die betreffende CA muss sicher sein, dass alle Validierungen auf dem neuesten Stand sind, bevor sie die Zertifikate freigeben kann.

Patrick Nohe, Senior Product Marketing Manager bei GlobalSign, www.globalsign.wis.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Deutsche Bank
Jul 07, 2020

Deutsche Bank holt sich Google als IT-Partner

Traditionelle Geldhäuser schleppen häufig eine gewaltige Altlast mit sich herum: eine IT,…
Microsoft Teams
Jul 05, 2020

Sichere Teamarbeit mit Microsoft Teams

Eine Pandemie hält seit Monaten die Welt in Atem. Viele Arbeitnehmer in Deutschland waren…
Callcenter
Jun 05, 2020

Callcenter aus dem Browser

Geschlossene Filialen, Abstandsregelung und überlastete Callcenter-Mitarbeiter im…

Weitere Artikel

Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!