Apple übernimmt die Führung bei der Begrenzung der Laufzeit von SSL

25 Februar 2020

Apple wird die zulässige Gültigkeit von SSL-Zertifikaten auf maximal 13 Monate begrenzen. Ab dem 1. September 2020 werden Zertifikate mit einer Laufzeit von mehr als 13 Monaten im Safari-Browser nicht mehr unterstützt. Es besteht die Chance, dass auch andere Browser diese Maßnahme anwenden werden, obwohl ein Vorschlag für eine branchenweite Änderung im letzten Jahr abgelehnt wurde.

Was sind die Auswirkungen?

Ab dem 1. September 2020 werden SSL-Zertifikate mit einer Gültigkeitsdauer von mehr als 398 Tagen in Safari nicht mehr vertraut, wenn die Zertifikate am oder nach dem 1. September 2020 ausgestellt wurden. Zertifikate mit einer längeren Gültigkeitsdauer, die vor diesem Datum ausgestellt wurden, werden während ihrer Gültigkeit weiterhin unterstützt. Diese Änderung gilt nur für SSL-Zertifikate in Safari, nicht für Client- oder Code Signing-Zertifikate. Safari ist der erste Browser, der diese Änderung implementiert hat, und ist mit einem Marktanteil von 18,2% der am meisten verwendete Browser nach Chrome. Es besteht die Chance, daß andere Browser dieser Initiative folgen werden.

Was ist der Grund dafür?

Vor einem Jahrzehnt waren noch Zertifikate mit einer Gültigkeit von bis zu 10 Jahren im Umlauf. In den letzten Jahren wurde diese Laufzeit mehrfach auf das aktuelle Maximum von 27 Monaten verkürzt. Im Jahr 2019 hat Google einen neuen Vorschlag für eine weitere Begrenzung auf 1 Jahr vorgelegt. Im September 2019 stimmte eine Mehrheit der Mitglieder des CA/Browser-Forums dagegen, wodurch die Änderung vorerst aufgehoben wurde. Da es aber auch viele Befürworter gibt, besteht die Chance, dass die Laufzeit irgendwann branchenweit begrenzt wird. Neben Apple hat auch Logius, als Manager der niederländischen PKIoverheid-Zertifikate, die Begrenzung auf 1 Jahr ab 1. November 2019 bereits umgesetzt.

Das CA/Browser-Forum (Certification Authority Browser Forum) besteht aus den meisten CAs und Browsern und legt Standards und Richtlinien fest, die die Sicherheit von SSL-Zertifikaten überwachen. Sie kontrollieren Sicherheitsbedrohungen wie die Verwendung interner Domains und veraltete Verschlüsselungsmethoden. Sie argumentieren, daß bei Zertifikaten mit einer langen Laufzeit die Wahrscheinlichkeit von Missbrauch und veralteten Techniken größer ist. Aus diesem Grund wurde die Laufzeit bereits im Februar 2015 auf maximal 39 Monate und Anfang 2018 auf 27 Monate begrenzt. Die letzte Änderung schlug zudem zunächst 13 Monate vor, danach wurde ein Kompromiss von zwei Jahren gewählt.

Was sagen die Gegner?

Am 9. September 2019 stimmte das CA/Browser-Forum gegen die Wahl von SC22, den Vorschlag für eine weitere Begrenzung der Gültigkeit von SSL-Zertifikaten auf 13 Monate. Von den 32 stimmberechtigten CA stimmten 11 Parteien dafür und 19 dagegen, wobei das Hauptgegenargument der größere Verwaltungsaufwand für Organisationen ist, die SSL-Zertifikate verwenden. Für Organisationen, die viele SSL-Zertifikate verwenden und die Verwaltung nicht automatisiert haben, bedeutet eine Halbierung der Gültigkeit eine Verdoppelung der erforderlichen Verwaltungszeit. Untersuchungen verschiedener CAs zeigen, dass mindestens drei Viertel der großen Unternehmen ihre Zertifikatsverwaltung noch nicht automatisiert haben, und bei kleineren Organisationen ist dieser Anteil noch größer.

Was sagen die Befürworter?

Logius, die PKIoverheid-Verwaltungsorganisation, hat dafür gestimmt und die Änderung zudem unabhängig vom Ausgang der Abstimmung am 1. November 2019 umgesetzt, weil sie mehr Sicherheit darin sieht, die in den Zertifikaten enthaltenen Daten häufiger zu überprüfen. Sectigo stimmte ebenfalls dafür und sprach sich für den zunehmenden Einsatz einer automatisierten Zertifikatsverwaltung aus, die einen größeren Verwaltungsaufwand vermeidet. Alle Browser im CA/Browser Forum stimmten ebenfalls für den Vorschlag.