Menü
Ein Beitrag von Adacor

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Mit SSL sicher verschlüsselt

SSL-Zertifikate waren bisher mit Laufzeiten zwischen einem und drei Jahren erhältlich. Seit 1. März 2018 hst sich diese Auswahloption geändert und die maximale Laufzeit wird auf 825 Tage begrenzt. Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

SSL-Zertifikate sorgen für eine sichere Onlinekommunikation zwischen Browser und Website. Besonders bei der Übertragung von persönlichen Daten über das Internet (wie etwa beim Onlinebanking oder –shopping) sind solche Zertifikate Standard. Wer ein SSL-Zertifikat benötigt, muss dies bei einer Zertifizierungsstelle (englisch: Certificate Authority – kurz CA – wie zum Beispiel Symantec) anfordern. Dort werden die Daten authentifiziert. Nach erfolgreicher Prüfung erhält der Bewerber sein SSL-Zertifikat.

Die Laufzeit von SSL-Zertifikaten konnte bisher individuell und bedarfsgerecht bestellt werden. Ein-, Zwei- und Drei-Jahres-Zertifikate waren möglich. Die letztere Option entfällt zukünftig. Denn wir das Certification Authority Browser Forum verkündete, dürfen neue SSL-Zertifikate ab 1. März 2018 nur noch eine maximale Laufzeit von 825 Tagen (das sind knapp 2,3 Jahre oder annähernd 27 Monate) haben. Das heißt, spätestens ab diesem Datum werden die CAs keine Zertifikate mit einer Laufzeit von drei Jahren mehr ausstellen.

Mehr Sicherheit dank kürzerer Laufzeiten

Die in letzter Zeit vermehrten Fehler im Hinblick auf den Zertifizierungsprozess haben unter anderem dazu geführt, dass erst im vergangenen Jahr eine Laufzeitverkürzung für die Zertifikate beschlossen wurde. Darüber hatte man lange diskutiert. Bisher waren SSL-Zertifikate mit Laufzeiten zwischen einem und drei Jahren erhältlich. Seit dem 1. März 2018 ist die maximale Laufzeit auf 825 Tage begrenzt. Das sind zwei Jahre plus gegebenenfalls einem dreimonatigen Puffer zur Anrechnung von Restlaufzeiten bei Zertifikatsverlängerungen. Anwender profitieren von der Laufzeitverkürzung trotz der häufiger anfallenden Kosten für den Zertifizierungsprozess in zweierlei Hinsicht:
1) Die kürzeren Laufzeiten wirken der Verwendung veralteter Verschlüsselungsstandards entgegen.
2) Die neuen Fristen geben den Zertifizierungsstellen die Möglichkeit, noch flexibler auf Sicherheitsanforderungen und neue technische Bedingungen zu reagieren.
Es ist davon auszugehen, dass das CAB-Forum weitere Laufzeitkürzungen beschließen wird. Möglicherweise könnten in naher Zukunft Ein-Jahres-Modelle Usus werden. Bestrebungen hierzu seitens Google Inc. bestehen bereits.

Zertifizierungsstelle Symantec unter Druck

Angesichts der gravierenden Sicherheitslücken im Vergabeprozess bei einigen Zertifizierungsstellen – konkret bei StartCom und Symantec – haben die Browserhersteller den Druck auf diese erhöht, nachdem beispielsweise Symantec aufgrund einer fehlerhaften Infrastruktur eine Großzahl Zertifikate falsch ausgestellt hatte. Google drohte damit, Zertifikate von Symantec künftig nicht mehr zu akzeptieren. Die Parteien einigten sich darauf, dass Symantec eine neue Infrastruktur bereitstellt, die Falschausstellungen in Zukunft verhindert. Symantec hat bereits die Konsequenzen aus diesen Vorfällen gezogen und die gesamte Zertifikatssparte an DigiCert verkauft.

Was ist das Certification Authority Browser Forum?

Das CAB oder CA/Browser Forum ist ein Zusammenschluss namhafter Zertifizierungsstellen und Anbietern von Webbrowsern und weiteren –applikationen. Das Ziel der Vereinigung ist die Veröffentlichung von Standards und Regeln für die Ausstellung und Verwaltung von SSL-Zertifikaten, denen die CAs in aller Regel folgen. Mehr Infos beim Klick.

Welche Folgen hat das Ende der dreijährigen Laufzeit?

Bereits zum heutigen Zeitpunkt sollte von einer Bestellung von Zertifikaten mit einer Laufzeit von drei Jahren Abstand genommen werden. Deswegen haben einige Anbieter (wie zum Beispiel CertCenter) ihr Portfolio bereits dementsprechend angepasst. Andere Anbieter (unter anderem die Certificate Authorities direkt) bieten nach wie vor dreijährige SSL-Zertifikate an.

Die frühzeitige Berücksichtigung soll Laufzeitverlusten vorbeugen. Diese würden entstehen, wenn das Zertifikat neu ausgestellt werden muss. Typische Fälle hierfür sind, wenn das Zertifikat mit einer höheren Verschlüsselungstechnik verfügbar ist oder ein Verlust des Private Keys vorliegt. Eine solche Notwendigkeit ist nie ganz auszuschließen: Das beweist der Heartbleed Bug, der 2014 die Neuausstellung fast aller SSL-Zertifikate mit sich zog. Siehe hierzu auch unser Beitrag zu „Verschlüsselungsverfahren im Überblick“.

825 – Warum so eine komische Zahl?

Die Wahl von 825 Tagen mag zunächst willkürlich erscheinen. Sie basiert jedoch auf dem Anrechnungsverfahren von Restlaufzeiten. Bei einer Zertifikatsverlängerung lässt sich die Restlaufzeit des alten Zertifikats von üblicherweise bis zu drei Monaten auf das neue Zertifikat anrechnen. Die Laufzeit eines neuen Zwei-Jahres-Zertifikats beträgt daher maximal 365*2 + 31 + 30 + 31= 822 Tage. Die verbleibenden drei Tage sind Puffer.
Kalendarisch bewegen wir uns an der Schwelle. Mit der Anrechnung einer längeren Restlaufzeit ist bereits heute der Punkt erreicht, an dem bei einer Neuausstellung des Zertifikats Laufzeit verloren gehen würde. Aufgrund der Dauer von manuellen Validierungsverfahren sollte der Einfachheit halber bereits heute von der Ausstellung von Drei-Jahres-Zertifikaten Abstand genommen werden, denn nicht der Zeitpunkt der Beantragung ist entscheidend, sondern der der Zertifikatsausstellung. Und dieser Vorgang kann in manchen Fällen bis zu einem Monat dauern.

Image

Erfolgreich in der Cloud

Cloud-Lösungen für Konzerne & Mittelstand!

> Projektvertraute Ansprechpartner
> DSGVO konform
> Individuelle Technologie- und Betriebskonzepte
> 24/7 Management Ihrer Cloud

Jetzt über Adacor Private Cloud informieren!

Erneuerung von Alt-Zertifikaten erfolgt in zwei Stufen

Da das Vertrauen in Sicherheitszertifikate sinkt, je mehr schwarze Schafe oder falsche Zertifikate im Umlauf sind, sollen in Ergänzung zu der neuen Infrastruktur alle validen Zertifikate der Marken Symantec, Thawte, GeoTrust und RapidSSL in zwei Stufen erneuert werden.

  1. In einem ersten Schritt war eine Neuausstellung aller Zertifikate notwendig, die vor dem 1. Juni 2016 ausgestellt worden waren. Sie mussten bis zum 1. März 2018 neu ausgestellt werden, da die Browser sonst eine entsprechende Fehlermeldung anzeigten.
  2. Darüber hinaus wird Google für seine neue Chrome-Version ab dem 23. Oktober 2018 nur noch Zertifikate akzeptieren, die auf Basis der neuen Infrastruktur erstellt worden sind. Daher müssen auch alle Zertifikate, die nach dem 1. Juni 2016 ausgestellt und bis dahin noch nicht getauscht wurden, bis zu diesem Datum einmalig erneuert werden.

Zertifikate, die nicht neu ausgestellt werden, verlieren zukünftig ihre Gültigkeit. Die Browserhersteller sind zuversichtlich, dass sie durch die neue technische Infrastruktur und die Erneuerung der Alt-Zertifikate die Problematik der falsch ausgestellten Zertifikate vollständig lösen können. Es besteht also kein Grund, Zertifikate von DigiCert (ehemals Symantec) und der zugehörigen Marken Thawte, GeoTrust und RapidSSL zu meiden, da diese ein hohes Maß an Sicherheit bieten und auch in Zukunft von allen gängigen Browsern akzeptiert werden.


Ein Beispiel
Ein am 28. Februar 2018 ausgestelltes SSL-Zertifikat mit einer Laufzeit von drei Jahren muss aufgrund eines Fehlers am 1. März 2018 erneut ausgestellt werden. Das neue Zertifikat hätte eigentlich eine Restlaufzeit von 1.094 Tagen. Aufgrund der neuen Regelung wird das Zertifikat – da es nach dem 1. März 2018 (neu-)ausgestellt wurde – nur noch mit einer Restlaufzeit von 825 Tagen herausgegeben. Der Rest der Laufzeit verfällt.

Sind Zertifikate ohne Identitätsverifikation durch eine Dritte Partei die Zukunft?

Für private Hosting-Lösungen stellen kostenlose Zertifikate, wie sie etwa von den Zertifizierungsstellen Let’s Encrypt oder Komodo angeboten werden, eine lukrative Alternative dar. Bei diesen wird jedoch nicht durch eine vertrauenswürdige dritte Partei (engl. „Trusted Third Party“) überprüft, ob der Antragsteller auch berechtigt ist das Zertifikat für die jeweilige Domain zu beziehen. Vom Stand der Verschlüsselungstechnik bieten diese Zertifikate in der Regel den gleichen Schutz wie kommerzielle Zertifikate. Der Aufwand ist jedoch deutlich höher, da das Zertifikat in kürzeren Abständen erneuert werden muss.
Im Business-Bereich haben sich diese Art der Zertifikate bisher nicht etabliert, da sie noch nicht alle Möglichkeiten von herkömmlichen Zertifikaten abdecken. Außerdem besitzt die Verifizierung durch eine Trusted Third Party in der Geschäftswelt nach wie vor einen hohen Stellenwert. So vermittelt beispielsweise die „Grüne Leiste“ (Extended Validation) im Browser Besuchern ein erhöhtes Sicherheitsgefühl. Eine solche lässt sich mit kostenlosen Zertifikaten bisher nicht realisieren. Deshalb wird diese Zertifikatsform in der Geschäftswelt vorerst vermutlich nur selten eingesetzt, da sie von den Nutzern – bezogen auf die Sicherheit – noch nicht als gleichwertig angesehen wird.

Fazit

Wer im Business auf sichere Onlinekommunikation setzen will, der kommt an kommerziellen SSL-Zertifikaten nicht vorbei. Sie sind und bleiben vorerst der De-facto-Standard, um Sicherheit und Vertrauen bezogen auf Websites und sichere Verbindungen herzustellen. Die Zertifizierungsstellen arbeiten stetig daran, die Produktqualität von kommerziellen SSL-Zertifikaten zu verbessern, Falschausstellung einzudämmen und das Vertrauen in SSL-Zertifikate mit den beschriebenen Maßnahmen langfristig zu stärken. Durch die anstehenden Neuausstellungen der Zertifikate wird weiterhin sichergestellt, dass die Zertifikate von DigiCert (ehemals Symantec) und den zugehörigen Marken Thawte, GeoTrust und RapidSSL ihrer Sicherheitsfunktion gerecht und von allen gängigen Browsern als sicher anerkannt werden.

,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

IT Security

Datensicherheit beim Löschen von Daten

Sind Daten nach dem Löschen unwiederbringlich weg? Der sichere Löschvorgang läuft bei uns in vier aufeinander folgenden Schritten ab.

weiter lesen

IT-News

Neue Ideen für Teamevents

Teamevents helfen, das Wir-Gefühl zu stärken, die Arbeitsmoral zu erhöhen und Mitarbeiter langfristig an das Unternehmen zu binden.

weiter lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Passwortsicherheit – Jedes Zeichen zählt!

Sicherheit von Passwörtern ist ein Dauerthema in der IT. Wir haben eine Checkliste für sichere Passwörter erstellt.

weiter lesen


Neueste Nachrichten von Adacor

IT Security

Risikomanagement als Mehrwert für Unternehmen sehen

Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können.

weiter lesen

Cloud

AWS, Azure und Co.: Brauchen Sie wirklich eine große Public-Cloud?

Das Angebot großer Public Clouds klingt für viele Unternehmen verlockend. Eine Private Cloud kann jedoch die ökonomisch sinnvollere Lösung sein.

weiter lesen

Biz & Trends

Was ist eigentlich Digitalisierung?

Der Begriff „ Digitalisierung“ weist viele Facetten auf. Die Aufteilung in Bereiche bringt jedoch Klarheit.

weiter lesen