Anzeige

SSL-Zertifikat

Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von fünf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang dafür gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. „Das ist mit Vorteilen für die Sicherheit verbunden, jedoch auch mit Nachteilen in der Administration“, erklärt IT-Sicherheitsexpertin Patrycja Schrenk.

Die Geschäftsführerin der PSW GROUP erklärt: „Müssen SSL-Zertifikate in kürzeren Intervallen ausgetauscht werden, finden auch vermehrt Identifikationsprüfungen statt. Das hilft, Missbrauchszahlen zu reduzieren. Denn in der Vergangenheit konnten kompromittierte Zertifikate oftmals von Kriminellen missbraucht werden. Bei kürzeren Laufzeiten reduziert sich auch die Zeitspanne, in der kompromittierte SSL-Zertifikate im Umlauf sind, sodass weniger Zeit für deren Missbrauch und für etwaige Angriffe bleibt. Kürzere Laufzeiten bringen weiter den Vorteil mit sich, dass Zertifikate mit als veraltet und unsicher geltenden Algorithmen aus dem Verkehr gezogen werden.“

Der Weg zu kurzen Laufzeiten von SSL-Zertifikaten war allerdings lang: Die Diskussion begann bereits im Jahr 2015. Damals setzte das CA/Browser Forum die Laufzeit für SSL-Zertifikate erstmals von 5 Jahren auf 36 Monate herab. Das CA/Browser Forum ist ein Zusammenschluss aus verschiedenen Interessengruppen der PKI-Branche, mitunter Zertifizierungsstellen und Webbrowser-Hersteller. Das CA/Browser Forum diskutiert und entscheidet unter anderem über die Mindestanforderungen an Zertifizierungsstellen.

Drei Jahre später, im Mai 2018, wurde ein weiteres Jahr gestrichen und die Laufzeitgrenze für SSL-Zertifikate auf 2 Jahre reduziert. Im darauffolgenden Jahr kam es zu leidenschaftlich geführten Diskussionen um eine weitere Herabsetzung der Laufzeit auf 13 Monate, jedoch ohne Ergebnis. Bis Anfang 2020 Apple die Initiative ergriff und im Alleingang die Laufzeit von SSL-Zertifikaten im hauseigenen Safari-Browser auf ein Jahr reduzierte. Mitte des letzten Jahres zogen auch Mozilla mit Firefox und Google mit Chrome nach.

Über die Hintergründe zur Gültigkeit von SSL-Zertifikaten und der gegenseitigen Abhängigkeit von Zertifizierungsstellen und Browsern sagt Schrenk: „Browser müssen die Zertifikate der Zertifizierungsstellen nutzen, um Verbindungen zu sichern und Vertrauensentscheidungen über Websites treffen zu können. Ein vonseiten der Zertifizierungsstelle gültiges Zertifikat nützt niemandem etwas, wenn es der Browser nicht als vertrauenswürdig erkennt.“ Eben dieser Prozess wird über sogenannte Root-Programme gehandhabt, von denen es vier relevante gibt: Google, Microsoft, Mozilla sowie Apple.

Diese Root-Programme stehen auch hinter den wichtigsten Browsern: Chrome, Edge, Firefox und Safari. Damit SSL-Zertifikate der Zertifizierungsstellen von den Root-Programmen – und damit natürlich auch von den dahinterstehenden Browsern sowie Betriebssystemen – als vertrauenswürdig erkannt werden, müssen sie die Richtlinien der Root-Programme erfüllen. „Die Root-Programme nehmen als Browser am CA/Browser Forum teil und können Änderungen vornehmen, die im eigenen Ermessen liegen – so wie es Apple getan hat. Apple hat als Root-Programm eigenmächtig die Kürzung der SSL-Zertifikat-Laufzeit angekündigt, alle anderen müssen zwangsläufig mitziehen“, so Patrycja Schrenk.

Den nicht von der Hand zu weisenden Vorteilen einer Laufzeit-Verkürzung gegenüber steht allerdings ein Hauptargument gegenüber: „Sowohl der Endnutzer als auch die Zertifizierungsstelle haben einen höheren Aufwand zu stemmen, was mit erhöhten Kosten verbunden sein kann“, macht Schrenk aufmerksam. Glücklicherweise gibt es kreative Anbieter, denen es gelingt, den Aufwand und damit die Kosten aufseiten des Endnutzenden geringer zu halten. So hat die PSW GROUP ein Abo-Modell für alle durch sie vertriebenen SSL-Zertifikate entwickelt.

„Alle von uns angebotenen SSL-Zertifikate können in unterschiedlichen Paketen mit Laufzeiten von ein bis vier Jahren erworben werden. Technisch werden dabei alle aktuellen Vorgaben eingehalten. Denn das SSL-Zertifikat wird regelmäßig und automatisiert erneuert“, erklärt Patrycja Schrenk. Dank Automatisierung wird der zeitlichen Aufwand damit reduziert und gleichzeitig der Komfort deutlich erhöht, ohne Sicherheitseinbußen in Kauf nehmen zu müssen.

www.psw-group.de
 


Artikel zu diesem Thema

Zertifikat
Jul 30, 2020

Warum sind Extended Validation-Zertifikate so wichtig?

Aktuell hatte DigiCert für Schlagzeilen gesorgt, weil es Web-Administratoren überall auf…
SSL
Apr 06, 2020

Apple senkt Gültigkeitsdauer von SSL-Zertifikaten auf 1 Jahr

Die Diskussionen um die optimale Gültigkeitsdauer von SSL-Zertifikaten gehen in die…

Weitere Artikel

Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramm der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…
Cyberwar

Neue Cybersicherheitsstrategie: Gemischte Gefühle in der IT-Sicherheit

Am Mittwoch hat das Bundeskabinett den Vorschlag des Innenministeriums für eine neue deutsche Cybersicherheitsstrategie verabschiedet. Dieser stieß – naturgemäß – im politischen Raum auf ein geteiltes Echo.
Cybersicherheit

VOICE fordert stärkere Haftung der Softwarehersteller und Cloudprovider

VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und…
Cybersicherheit

Praxisnahes Lernen – IT-Sicherheit in der Industrie 4.0

Die digitale Transformation bringt für produzierende Unternehmen eine Vielzahl an Chancen mit sich. Doch mit der Vernetzung steigt auch das Risiko für Cyberangriffe. Ein ganzheitliches Sicherheitskonzept nach IEC 62443 zur Absicherung der Produktion…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.