Beim CA/Browser (CA/B) Forum im slowakischen Bratislava kündigte Apple diese Woche an, dass ab dem 1. September neu ausgestellte öffentlich vertrauenswürdige TLS-Zertifikate nur noch 398 Tage lang gültig sein dürfen. Das ist das Ergebnis lange andauernder Bemühungen seitens CA/B Forum-Mitgliedern, die Laufzeit von Zertifikaten zu verkürzen und die Sicherheit zu verbessern, ohne dabei die Interessen von Unternehmen beim Wechsel zu schneller ablaufenden Zertifikaten auszublenden.
Im August 2019 versuchte Google beim CA/B Forum (Abstimmung SC22), eine Verkürzung der Gültigkeit von TLS-Zertifikaten auf ein Jahr durchzubringen. Zertifizierungsstellen gingen diesen Vorschlag mit ihren Kunden durch und verzeichneten Tausende Kommentare von Nutzern, zumeist ablehnende mit der Begründung, kürzere Gültigkeitsspannen würden für IT-Teams zusätzlichen Verwaltungsaufwand bedeuten. Die Abstimmung fiel negativ aus und so blieb es bei einer maximalen Zertifikatslaufzeit von zwei Jahren.
Zertifikate wurden früher mit maximal dreijähriger Gültigkeit angeboten. Vor einigen Jahren wurde das Maximum auf zwei Jahre verkürzt. Und jetzt die Ankündigung von Apple diese Woche, die letztlich schafft, was Abstimmung SC22 nicht gelang: die Laufzeit von Zertifikaten auf ein Jahr zu verringern.
Weshalb dieser Alleingang von Apple? Ein Unternehmenssprecher begründete die Entscheidung mit der „Sicherheit der Nutzer“. Aus früheren Diskussionen im CA/B Forum wissen wir, dass längere Laufzeiten beim Ersetzen von Zertifikaten mitunter Probleme bereiten, beispielsweise im Fall eines weitreichenden Sicherheitsvorfalls. Offenbar möchte Apple Strukturen vermeiden, die nur träge auf grundlegende, zertifikatsrelevante Bedrohungen reagieren können. TLS-Zertifikate mit kurzer Lebensdauer sorgen für mehr Sicherheit, weil sie im Falle einer Manipulation ein kleineres Angriffsfenster bieten. Außerdem geben sie Unternehmen die Chance, Verwaltungsaufgaben zusammenzulegen, da die jährlichen Updates eine Überprüfung der Identität (Firmenname, Adresse, aktive Domains usw.) bedingen. Wie bei jeder Verbesserung gilt es, abzuwägen, ob die Verkürzung der Laufzeit den Aufwand für die Implementierung der Änderungen wert ist.
Apple hat zu diesem Thema einen Supportartikel verfasst; Sie finden ihn hier. Wie wirkt sich das auf Nutzer von Website-Zertifikaten aus? Ab dem 30. August 2020 vertraut Safari nur noch Websites mit öffentlich vertrauenswürdigen TLS-Zertifikaten, die höchstens 398 Tage lang gültig sind. Unabhängig von ihrer Laufzeit (bis zu 825 Tage) behalten vor dem 1. September 2020 ausgestellte Zertifikate ihre Gültigkeit. Nicht öffentlich vertrauenswürdige Zertifikate von bis zu 825 Tagen Laufzeit können weiterhin anerkannt werden.
DigiCert bestätigt, dass eine verkürzte Gültigkeit zur Sicherheit im Allgemeinen beiträgt, und bietet seinen Kunden die nötige Unterstützung bei der Automatisierung der Zertifikatsverwaltung. Bei Kunden mit leistungsstarken Automatisierungsfunktionen unterstützen wir Zertifikate mit kurzer Lebensdauer von mitunter nur wenigen Stunden. Darüber hinaus können Sie mit unserer CertCentral-Plattform EV-, OV- und DV-Zertifikate geplant und automatisch ersetzen. Mit CertCentral profitieren Administratoren von kontinuierlicher Erfassung, Erneuerungshinweisen, sorgfältiger API-Integration und -Dokumentation sowie Support für Orchestrierungsebenen. Mehrjährige Laufzeiten, die die Planung erleichtern, und globaler Support rund um die Uhr ergänzen den Service von CertCentral und sorgen für ein branchenweit unübertroffenes Erlebnis.
Da Zertifikate immer kurzlebiger werden, kommen Unternehmen bei deren Verwaltung an Automatisierung nicht mehr vorbei. DigiCert ist vorbereitet: Die fortschrittlichsten und zuverlässigsten Tools der Branche helfen unseren Kunden dabei, ihr Automatisierungspotenzial auszuschöpfen.