Ein weiteres Verkürzen der Gültigkeitsdauer von TLS-Zertifikaten steht bevor

22.01.2025 | Petra Alm

Die Verkürzung der Gültigkeitsdauer von SSL/TLS-Zertifikaten wurde in den letzten 10 Jahren bereits mehrfach durchgeführt. Nun steht eine Verkürzung auf nur noch 45 Tage zur Debatte, was einen Austausch des TLS-Zertifikats bis zu 9 Mal pro Jahr bedeuten würde! Mit uns müssen Sie sich jedoch keine Sorgen machen. Was das für Sie bedeutet und wie Sie mit dieser Situation umgehen können, erfahren Sie in diesem Artikel.

Geschichte der Zertifikatsverkürzung

In den Anfängen der SSL-Zertifikate fehlte ein klarer Regulator der gesamten Branche, der heute das Konsortium CA/Browser Forum ist. Dieses entstand im Jahr 2005 und das erste Ergebnis ihrer Tätigkeit waren zwei Jahre später die Regeln für EV-Zertifikate, die auf diese Weise entstanden.

Kurz darauf begann die Diskussion über die maximale Gültigkeitsdauer von SSL-Zertifikaten, da ein Schlüsselpaar jahrelang unverändert verwendet werden konnte, was nicht zur Sicherheit der Benutzer beiträgt. Im Jahr 2015 wurde die maximale Gültigkeit auf 3 Jahre (39 Monate) reduziert. Bis dahin wurden auch Zertifikate für 4-5 Jahre ausgestellt. Eine weitere Verkürzung erfolgte im März 2018, als die Gültigkeit auf 27 Monate (825 Tage) beschränkt wurde.

Seit September 2020 gab es eine weitere Verkürzung. Die Unternehmen Apple, Google und Mozilla setzten durch, dass Browser Zertifikate, die älter als 398 Tage sind, als ungültig betrachten, was die maximale Gültigkeitsdauer faktisch auf 1 Jahr und ein paar zusätzliche Tage festlegte. Dieser Zustand gilt bis heute, aber Experten spekulierten, dass es in Zukunft zu weiteren Verkürzungen kommen könnte.

Jetzt sind erneut Apple und Google an der Spitze einer weiteren Verkürzungswelle, und ihre Vorschläge werden im Plenum des CA/Browser Forums diskutiert. Bisher wurde noch nichts verbindlich entschieden, aber der Vorschlag von Apple ist noch mutiger als der von Google, das eine Verkürzung auf 90 Tage wollte. Derzeit ist die Gültigkeit des Zertifikats auf 398 Tage beschränkt.

Apple schlägt vor, Zertifikate auf 47 Tage zu verkürzen und will dies schrittweise erreichen. Neue Zertifikate sollten maximal dreimal verkürzt werden:

• 200 Tage mit Wirkung ab März 2026
• 100 Tage ab März 2027
• 47 Tage ab März 2028

Es ist zu erwarten, dass diese Form letztendlich eingeführt wird. Es ist bereits vorgekommen, dass sich Apple durchgesetzt hat, wenn sein Vorschlag nicht angenommen wurde, aber alle haben sich schließlich angepasst, da sein Browser einen nicht vernachlässigbaren Marktanteil hat.

Wie man sich auf die Verkürzung vorbereitet

Automatisieren Sie den Lebenszyklus der Zertifikate im Voraus - das ist der einzige Rat, den wir Ihnen geben können. Die Einführung der Zertifikatsautomatisierung muss nicht schwierig sein und es gibt noch genug Zeit dafür. Wir können Ihnen verschiedene Methoden zur Zertifikatsautomatisierung anbieten, alle sind in der Praxis erprobt und funktionsfähig.

Wir empfehlen Ihnen folgende Automatisierungsmethoden:

• ACME-Protokoll - ein Standardprotokoll zur Erlangung von Zertifikaten, funktioniert mit so genannten ACME-Clients, von denen es viele auf dem Markt gibt. Der Client kann in der Regel nicht nur Zertifikate erhalten, sondern auch auf den Server implementieren.
• DigiCert Automation Manager - agenten/sensorbasierte Automatisierung mit Verwendung der CertCentral-Schnittstelle. Sie haben einen Überblick über die Zertifikate auf Ihren Servern und können sie über die Schnittstelle auch steuern. Die Agenten verwalten diese dann für Sie auf den Servern.
• Trust Lifecycle Manager innerhalb von DigiCert ONE ist ein umfassendes Tool und kann an beliebte Werkzeuge und Dienste von Drittanbietern angebunden werden. Es erleichtert so insbesondere größeren Unternehmen die Integration.
• KeyTalk CKMS-Server oder Dienstleistung. Zertifikate können eigenständig erworben und auf Endgeräte in Ihrem Unternehmen implementiert werden. Kann zur Automatisierung von TLS- oder S/MIME-Zertifikaten verwendet werden.
• Eigene Integration unseres API oder des API der CA DigiCert.

Die ersten vier Beispiele können den gesamten Lebenszyklus eines Zertifikats verwalten, d.h. von dessen Erhalt über dessen Ausstellung bis zur Implementierung (auf einem kompatiblen Server). Alles ist also abgedeckt und Sie müssen sich um nichts kümmern. Wenn Sie eine eigene Automatisierung erstellen und unser API implementieren, dann erhalten Sie das Zertifikat, aber die Implementierung auf dem Server liegt weiterhin in Ihrer Verantwortung.

Zögern Sie nicht, sich so schnell wie möglich mit uns in Verbindung zu setzen und herauszufinden, wie Sie Ihre TLS-Zertifikate automatisieren können, ohne zusätzliche Kosten zu verursachen.

Warum wird die Verkürzung durchgeführt?

Apple und Google sind davon überzeugt, dass die Verkürzung von Zertifikaten allgemein zur Internetsicherheit beitragen wird. Nachfolgend finden Sie einige der Hauptargumente für die Verkürzung; der am häufigsten genannte Vorteil ist die Erhöhung der Benutzersicherheit durch häufigeren Schlüsselrotation.

Vorteile von kürzeren Zertifikaten

Zertifikate mit kürzerer Gültigkeitsdauer tragen zur Verbesserung der Sicherheit bei, da sie im Bedarfsfall schneller neue Technologien einführen können. Ein solches Szenario könnte beispielsweise der Übergang zur post-quantum Kryptografie (PQC) sein, nachdem RSA von einem Quantencomputer gebrochen wurde (was uns in der Zukunft sicher erwartet). Eine kürzere Zertifikatsgültigkeitsdauer stellt sicher, dass neue Algorithmen schneller auf die Server gelangen.

Ein weiterer Grund könnte die Minimierung von Schäden bei der Kompromittierung von Schlüsseln sein. Wenn ein privater Schlüssel verlorengeht, beschränkt eine kürzere Gültigkeitsdauer den Zeitraum, in dem das kompromittierte Zertifikat ausgenutzt werden kann (das Opfer weiß oft nicht einmal, dass es kompromittiert wurde).

Auch die Entwicklung der Automatisierung des Zertifikatslebenszyklus, die durch diesen erheblichen Druck beschleunigt wird, ist von Bedeutung. Zertifikatsverwalter sind gezwungen, die Zertifikatsautomatisierung zu verwenden, was letztendlich zu ihrem Vorteil ist.

Nachteile

Zu den Hauptnachteilen gehört der erhöhte Verwaltungsaufwand. Meistens wird dies durch Automatisierung gelöst, aber es wird immer Fälle geben, in denen dies weder einfach noch möglich ist. Bei Systemen, die derzeit keine Automatisierung unterstützen, muss auf die Ergänzung der Unterstützung durch den Hersteller gewartet werden; Administratoren werden in der Zwischenzeit Zertifikate manuell verwalten und mehr Arbeit haben. Organisationen, die keine Automatisierung der Zertifikatsverwaltung eingeführt haben, können durch häufigere Zertifikatsverlängerungen beeinträchtigt werden.

Sicherlich wird es auch bei IoT-Geräten zu Problemen kommen, die nicht mit Blick auf einen kürzeren Zertifikatslebenszyklus entwickelt wurden. Wenn diese nicht aktualisiert werden, wird es wahrscheinlich zu Konflikten zwischen diesen Geräten und den verwendeten Zertifikaten mit modernen Browsern kommen.

Zögern Sie nicht, mit uns über Automatisierung zu sprechen

Die bevorstehende Verkürzung der Zertifikate ist eine große Veränderung, aber mit uns muss das kein Problem sein. Wenden Sie sich an uns und beginnen Sie, die Zertifikate zu automatisieren; je früher Sie dies tun, desto besser für Sie!

---