Bereits seit September 2020 können SSL/TLS-Zertifikate nicht mehr länger als 13 Monate (397 Tage) ausgestellt werden. Diese Änderung wurde zuerst von Apple auf dem CA/Browser Forum Spring Face-to-Face Event in Bratislava im März 2020 angekündigt. Ein Vierteljahr später folgte die Konkurrenz auf dem Fuß: Auf der Sommer-Veranstaltung des CA/B-Forums (die virtuell stattfand), kündigte Google dann seine Absicht an, die Änderungen von Apple mit seinem eigenen Root-Programm zu übernehmen.
Sie benötigen Beratung zum Thema Zertifikate & Sicherheit?
Dann rufen Sie uns an unter +49 (0) 152 540 269 89 oder Schreiben Sie uns!
Wechselseitige Beziehung zwischen Zertifizierungsstellen und Browser
Das CA/Browser-Forum ist eine Industriegruppe, die sich trifft, um über eine Reihe von Basisanforderungen für die Ausstellung von vertrauenswürdigen digitalen Zertifikaten abzustimmen. Was es jedoch nicht ist, ist ein Führungsgremium. Auch wenn die CAs Bedenken und Widerwillen geäußert haben, die maximale Gültigkeit wieder zu verringern, haben Apple und Google durchaus das Recht, die Richtlinien für ihre Root-Programme zu aktualisieren, wie sie es für richtig halten.
Zertifizierungsstellen und Browser stehen in einer wechselseitigen Beziehung. Browser müssen Zertifikate verwenden, um das Vertrauen in Websites zu gewinnen und um Verbindungen zu sichern. Was nützt der CA-Seite ein öffentliches Zertifikat, wenn der Browser ihm nicht vertraut?
Die Art und Weise, wie dies alles verwaltet wird, ist durch die Root-Programme. Es gibt vier wichtige Root-Programme, die erwähnenswert sind:
- Microsoft
- Apple
- Mozilla
- Google (die letzten beiden bekannt als Googzilla)
Diese vier Anbieter stehen offensichtlich auch hinter den wichtigsten Browsern auf dem Desktop sowie auf dem Handy. Damit eine CA ihre Zertifikate von den Root-Programmen und damit auch von den Browsern und Betriebssystemen, die sie nutzen, als vertrauenswürdig eingestuft bekommt, muss sie sich an die Richtlinien des Root-Programms halten.
Das CA/B-Forum hilft im Idealfall, Änderungen an den Root-Programmen (und dem Ökosystem selbst) zu erleichtern. Aber die Root-Programme, die als Browser teilnehmen, können immer noch unilateral handeln und Änderungen vornehmen, wie sie es für richtig halten. Wenn das passiert, diktiert die Notwendigkeit der Interoperabilität im Grunde, dass die Richtlinie des Root-Programms mit den strengsten Standards die neue de facto Basisanforderung wird.
Hauptgrund: Kein funktionierender Widerrufmechanismus
Der Hauptgrund für die stetige Verkürzung der Zertifikats-Lebensdauer liegt darin, dass es keinen allgemein funktionierenden Widerrufsmechanismus gibt. Dieser ist jedoch wichtig, um Zertifikat sperren zu können. In der Vergangenheit haben sich Sperrlisten (CRLs) und das Online Certificate Status Protocol (OCSP) als ungeeignet erwiesen und sind mittlerweile standardmäßig abgeschaltet.
Zwar pflegten die Browser-Hersteller noch eigene, interne Sperrlisten, über die sie auf akute Vorfälle reagieren können, doch auch dieses Vorgehen ist schwerfällig. Hierbei werden in einem händischen Verfahren nur bedeutsame Problemfälle abgedeckt. Ein kürzeres Ablaufdatum sorgt für Schadensbegrenzung: Wird etwa der geheime Schlüssel eines Zertifikats gestohlen, soll ein möglichst bald nahendes Ablaufdatum das Problem aus der Welt schaffen.
Vorteile einer kürzeren Lebensdauer von SSL/TLS-Zertifikaten
Von einem theoretischen Standpunkt aus betrachtet, gibt es zwei Hauptvorteile für Zertifikate mit kürzerer Lebensdauer:
Der erste ist die technische Komponente – längere Lebensspannen bedeuten, dass es länger dauert, Updates oder Änderungen organisch auszurollen. Ein Beispiel aus der Praxis wäre die Umstellung von SHA1 auf SHA2. Wenn Browser-Hersteller und Zertifikatstellen nicht eine ganze Reihe von Zertifikaten widerrufen und den Kunden zur Neuausstellung zwingen, kann es Jahre dauern, bis alle alten Zertifikate ersetzt sind. Im Fall von SHA1 dauerte es drei. Das schafft Risiken.
Der andere Vorteil hat mit der Identität zu tun – wie lange sollten die Informationen, die zur Validierung einer Identität verwendet werden, vertrauenswürdig bleiben? Je länger zwischen den Validierungen, desto größer ist das Risiko. Google hat gesagt, dass in einer idealen Welt die Domain-Validierung etwa alle sechs Stunden stattfinden würde.
Vor 2015 konnte man sich ein SSL/TLS-Zertifikat für bis zu fünf Jahre ausstellen lassen. Das wurde auf drei und dann 2018 wieder auf zwei Jahre reduziert. Ende 2019 wurde im CA/B-Forum eine Abstimmung vorgeschlagen, die eine Verkürzung auf ein Jahr vorsah – sie wurde von den Zertifizierungsstellen klar abgelehnt. Doch nun haben die Browser-Hersteller ihrerseits Fakten geschaffen.
Was eine kürzere SSL/TLS-Gültigkeit für Website-Besitzer bedeutet
Das Wichtigste zuerst: Wer ein zweijähriges Zertifikat verwenden, das vor dem 1. September ausgestellt wurde, dessen Zertifikat bleibt bis zu seinem ursprünglichen Ablaufdatum gültig. Es kann dann jedoch nicht mehr um zwei Jahre verlängert werden.
Aus einem übergeordneten Blickwinkel betrachtet, könnte dies ein guter Zeitpunkt sein, um darüber nachzudenken, mehr Funktionen für die Verwaltung des Zertifikatslebenszyklus zu automatisieren. Insbesondere für größere Unternehmen, die Dutzende von öffentlich vertrauenswürdigen Website-Zertifikaten verwalten, ergeben sich hier diverse Möglichkeiten. Aber Unternehmen, die öffentlich vertrauenswürdige E-Mail-Zertifikate verwenden, sowie jedes Unternehmen, das eine private CA oder PKI-basierte elektronische Signaturen nutzt, kann diese Gelegenheit nutzen, um die Verwaltung zu optimieren. So können Administratoren auch in Betracht ziehen, einige Zertifikate von öffentlichem zu privatem Vertrauen zu verschieben, was ebenfalls bei der Verwaltung hilft – auf diese Weise wäre es sogar möglich, Zertifikate mit längerer Gültigkeit ausstellen.
Handlungsbedarf für Nutzer?
Für Webseitenbetreiber besteht zunächst kein Handlungsbedarf. Vorreiter im Zertifikatbereich ist das mittlerweile den Markt dominierende Lets Encrypt. Dieser stellt Zertifikate ohnehin nur auf drei Monate aus und verlängert sie automatisiert via ACME. Anderen Zertifizierungsstellen folgen dem Vorbild von Lets Encrypt und stellen Zertifikate nur noch auf 398 Tage aus. Angesichts der Machtdemonstration der Browser-Hersteller bleibt ihnen wohl auch nicht viel anderes übrig.
Sie brauchen Unterstützung bei Zertifikaten und Datensicherheit?
Dann rufen Sie uns an unter +49 (0) 152 540 269 89 oder Schreiben Sie uns!
Bilder: Philipp Katzenberger / Unsplash (oben), TheDigitalWay / Pixabay