Als Wiederverkäufer von SSL-Zertifikaten der Certum-Zertifizierungsstelle hat uns eine wichtige Information zum Thema „Gültigkeitsdauer von SSL-Zertifikaten“ erreicht, die wir gerne redaktionell aufgearbeitet an Sie weitergeben.
Bereits vor einigen Tagen hat Apple beim CA/Browser Forum in Bratislava angekündigt, dass ab dem 1. September 2020 Zertifikate, die für mehr als 398 Tage ausgestellt werden (sog. two-year SSL certificates) nicht mehr unterstützt werden. Alle vor dem 1. September 2020 ausgestellten Zertifikate bleiben weiterhin gültig und erfordern unabhängig von ihrer Gültigkeitsdauer (bis zu 825 Tage) keine Eingriffe oder Änderungen ihrerseits. Die Änderung der Gültigkeitsdauer gilt nur für Zertifikate, die nach dem 1. September 2020 ausgestellt werden, und wird dazu führen, dass Websites mit einem Zertifikat, das länger als 398 Tage gültig ist, im Safari-Browser nicht mehr als vertrauenswürdig eingestuft werden.
Es ist nur eine Frage der Zeit, wann andere Browser wie Chrome oder Firefox die gleiche Änderung vornehmen werden. Die Verkürzung der Gültigkeitsdauer des Zertifikats durch Apple ist nicht überraschend und passt in den Kontext der permanenten Verbesserung der Sicherheit des Internets. Mit der Verkürzung der Lebensdauer von SSL (TLS) wird es für Website-Besitzer viel einfacher, auf Sicherheitsvorfälle zu reagieren. Und mit der häufigeren Generierung eines neuen Schlüsselpaares wird das Risiko eines Schlüsselverlusts oder einer Kompromittierung deutlich minimiert.
Certum gibt an, dass noch bis zum 31. August 2020 zweijährige SSL-Zertifikate im Angebot verfügbar sein werden. Entsprechend dieser Vorgabe werden wir ebenfalls unser Angebot anpassen und nur noch Zertifikate mit einer Gültigkeit von 12 Monaten ausstellen. Bitte beachten Sie, dass diese Neuerung nur SSL-Zertifikate betrifft, S/MIME-Zertifikate für die sichere E-Mail-Kommunikation sind von dieser Änderung nicht betroffen.
Warum SSL-Zertifikate ein Verfallsdatum haben
Klar, es nervt irgendwie: Einer der am meisten missverstandenen – und oft beklagten – Aspekte von SSL ist die Tatsache, dass die Zertifikate ein Ablaufdatum haben. Ein Zertifikat ist keine Tüte Milch, es sollte keine Haltbarkeitsdauer geben! Und ehrlich gesagt ist das keine unvernünftige Denkweise. SSL-Zertifikate erleichtern sichere Verbindungen zwischen Clients und Servern. Das Hinzufügen eines willkürlichen Ablaufdatums, das zur Erneuerung zwingt, erscheint unnötig, als Geldgriff sogar. Und doch: Das Verfallsdatum von SSL-Zertifikaten dient zwei sehr wichtigen Zwecken. Schauen wir uns das genauer an.
Identität, Identität, Identität
SSL-Zertifikate haben im Grunde zwei wichtige Funktionen. Die erste – die Erleichterung verschlüsselter Verbindungen – haben wir bereits angesprochen, die zweite ist nicht minder wichtig: Authentifizierung. Wie bei jeder Form einer ID müssen die Informationen gelegentlich aktualisiert werden. Hier gilt für SSL-Zertifikate gleichermaßen, was wir bei Führerscheinen oder Personalausweisen längst akzeptiert haben. Einfach, weil es wichtig ist, Identifizierungsinformationen auf dem neuesten Stand zu halten. Vielleicht ist man umgezogen oder ein aktuelles Bild ist notwendig, weil wieder ein paar Falten hinzugekommen sind. Der Punkt ist, dass die Zertifizierungsstellen, die Ihre SSL-Zertifikate ausstellen, für Ihre Identität bürgen. Das ist der einzige Grund, warum die Browser Ihrer Website überhaupt vertrauen. Es liegt also im Interesse der CA, Ihre Informationen gelegentlich zu überprüfen und sicherzustellen, dass alles auf dem neuesten Stand ist. Ein Ablaufdatum ist daher unbedingt sinnvoll! Domains wechseln ständig den Besitzer. Überlegen Sie, was passieren würde, wenn der alte Besitzer noch Zugang zu einem funktionierenden SSL-Zertifikat für diese Domain hätte... Genau deshalb gibt es Mechanismen wie Zertifikatstransparenz, Sperrlisten und eben Ablaufdaten.
Kein Fortschritt ohne Ablaufdatum
Der andere Grund, weshalb Zertifikate ablaufen, ist schnell erklärt: Es geht um Fortschritt! Wenn Sie Ihr SSL-Zertifikat nie durch ein neues ersetzen müssten, würden Sie nie Sicherheitsfortschritte übernehmen, die seit dem ursprünglichen Kaufdatum implementiert wurden. Das bedeutet, dass Zertifikate, die veraltete Verschlüsselungsprotokolle (wie SSL 2.0 und 3.0 oder TLS 1.0) verwenden, anfällig für Angriffe werden würden. Das wiederum würde das gesamte SSL-Ökosystem weniger sicher machen und gleichzeitig das Vertrauen der Verbraucher verringern. Als SHA-1 vor wenigen Jahren abgekündigt wurde, war der Erfolg dieser Strategie rasch erkennbar. Innerhalb weniger Monate verschwand der SHA-1-Algorithmus aus der SSL-Landschaft und SHA-2 wurde zum neuen Standard. Die Migration war in kürzester Zeit abgeschlossen, das gesamte SSL-Ökosystem wurde insgesamt sicherer – und zwar ohne das Chaos einer langen Umstellungsphase!
Fazit
Auf den ersten Blick mag es seltsam anmuten, dass digitale Zertifikate ein Verfallsdatum haben, die Vorteile liegen aber auf der Hand. Verfallsdaten gewährleisten, dass sich Fortschritte im Bereich der Verschlüsselungstechnologien schnell im Internet verbreiten und Anwender rasch von ihren Vorzügen profitieren. Und sie sorgen dafür, dass sich Identifizierungsinformationen stets auf dem aktuellen Stand befinden. Es mag umständlich erscheinen, regelmäßig neue SSL-Zertifikate zu beantragen, es ist aber unumgänglich, um das Internet zu einem sicheren Platz für alle Nutzer zu machen.
