Thought Leadership
Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von fünf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang dafür gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. „Das ist mit Vorteilen für die Sicherheit verbunden, jedoch auch mit Nachteilen in der Administration“, erklärt IT-Sicherheitsexpertin Patrycja Schrenk.
Die Geschäftsführerin der PSW GROUP erklärt: „Müssen SSL-Zertifikate in kürzeren Intervallen ausgetauscht werden, finden auch vermehrt Identifikationsprüfungen statt. Das hilft, Missbrauchszahlen zu reduzieren. Denn in der Vergangenheit konnten kompromittierte Zertifikate oftmals von Kriminellen missbraucht werden. Bei kürzeren Laufzeiten reduziert sich auch die Zeitspanne, in der kompromittierte SSL-Zertifikate im Umlauf sind, sodass weniger Zeit für deren Missbrauch und für etwaige Angriffe bleibt. Kürzere Laufzeiten bringen weiter den Vorteil mit sich, dass Zertifikate mit als veraltet und unsicher geltenden Algorithmen aus dem Verkehr gezogen werden.“
Der Weg zu kurzen Laufzeiten von SSL-Zertifikaten war allerdings lang: Die Diskussion begann bereits im Jahr 2015. Damals setzte das CA/Browser Forum die Laufzeit für SSL-Zertifikate erstmals von 5 Jahren auf 36 Monate herab. Das CA/Browser Forum ist ein Zusammenschluss aus verschiedenen Interessengruppen der PKI-Branche, mitunter Zertifizierungsstellen und Webbrowser-Hersteller. Das CA/Browser Forum diskutiert und entscheidet unter anderem über die Mindestanforderungen an Zertifizierungsstellen.
Drei Jahre später, im Mai 2018, wurde ein weiteres Jahr gestrichen und die Laufzeitgrenze für SSL-Zertifikate auf 2 Jahre reduziert. Im darauffolgenden Jahr kam es zu leidenschaftlich geführten Diskussionen um eine weitere Herabsetzung der Laufzeit auf 13 Monate, jedoch ohne Ergebnis. Bis Anfang 2020 Apple die Initiative ergriff und im Alleingang die Laufzeit von SSL-Zertifikaten im hauseigenen Safari-Browser auf ein Jahr reduzierte. Mitte des letzten Jahres zogen auch Mozilla mit Firefox und Google mit Chrome nach.
Über die Hintergründe zur Gültigkeit von SSL-Zertifikaten und der gegenseitigen Abhängigkeit von Zertifizierungsstellen und Browsern sagt Schrenk: „Browser müssen die Zertifikate der Zertifizierungsstellen nutzen, um Verbindungen zu sichern und Vertrauensentscheidungen über Websites treffen zu können. Ein vonseiten der Zertifizierungsstelle gültiges Zertifikat nützt niemandem etwas, wenn es der Browser nicht als vertrauenswürdig erkennt.“ Eben dieser Prozess wird über sogenannte Root-Programme gehandhabt, von denen es vier relevante gibt: Google, Microsoft, Mozilla sowie Apple.
Diese Root-Programme stehen auch hinter den wichtigsten Browsern: Chrome, Edge, Firefox und Safari. Damit SSL-Zertifikate der Zertifizierungsstellen von den Root-Programmen – und damit natürlich auch von den dahinterstehenden Browsern sowie Betriebssystemen – als vertrauenswürdig erkannt werden, müssen sie die Richtlinien der Root-Programme erfüllen. „Die Root-Programme nehmen als Browser am CA/Browser Forum teil und können Änderungen vornehmen, die im eigenen Ermessen liegen – so wie es Apple getan hat. Apple hat als Root-Programm eigenmächtig die Kürzung der SSL-Zertifikat-Laufzeit angekündigt, alle anderen müssen zwangsläufig mitziehen“, so Patrycja Schrenk.
Den nicht von der Hand zu weisenden Vorteilen einer Laufzeit-Verkürzung gegenüber steht allerdings ein Hauptargument gegenüber: „Sowohl der Endnutzer als auch die Zertifizierungsstelle haben einen höheren Aufwand zu stemmen, was mit erhöhten Kosten verbunden sein kann“, macht Schrenk aufmerksam. Glücklicherweise gibt es kreative Anbieter, denen es gelingt, den Aufwand und damit die Kosten aufseiten des Endnutzenden geringer zu halten. So hat die PSW GROUP ein Abo-Modell für alle durch sie vertriebenen SSL-Zertifikate entwickelt.
„Alle von uns angebotenen SSL-Zertifikate können in unterschiedlichen Paketen mit Laufzeiten von ein bis vier Jahren erworben werden. Technisch werden dabei alle aktuellen Vorgaben eingehalten. Denn das SSL-Zertifikat wird regelmäßig und automatisiert erneuert“, erklärt Patrycja Schrenk. Dank Automatisierung wird der zeitlichen Aufwand damit reduziert und gleichzeitig der Komfort deutlich erhöht, ohne Sicherheitseinbußen in Kauf nehmen zu müssen.
www.psw-group.de
