Menü
Ein Beitrag von Adacor

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Mit SSL sicher verschlüsselt

SSL-Zertifikate waren bisher mit Laufzeiten zwischen einem und drei Jahren erhältlich. Ab 1. März 2018 ändert sich diese Auswahloption und die maximale Laufzeit wird auf 825 Tage begrenzt. Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

SSL-Zertifikate sorgen für eine sichere Onlinekommunikation zwischen Browser und Website. Besonders bei der Übertragung von persönlichen Daten über das Internet (wie etwa beim Onlinebanking oder –shopping) sind solche Zertifikate Standard. Wer ein SSL-Zertifikat benötigt, muss dies bei einer Zertifizierungsstelle (englisch: Certificate Authority – kurz CA – wie zum Beispiel Symantec) anfordern. Dort werden die Daten authentifiziert. Nach erfolgreicher Prüfung erhält der Bewerber sein SSL-Zertifikat.

Die Laufzeit von SSL-Zertifikaten konnte bisher individuell und bedarfsgerecht bestellt werden. Ein-, Zwei- und Drei-Jahres-Zertifikate waren möglich. Die letztere Option entfällt zukünftig. Denn wir das Certification Authority Browser Forum verkündete, dürfen neue SSL-Zertifikate ab 1. März 2018 nur noch eine maximale Laufzeit von 825 Tagen (das sind knapp 2,3 Jahre oder annähernd 27 Monate) haben. Das heißt, spätestens ab diesem Datum werden die CAs keine Zertifikate mit einer Laufzeit von drei Jahren mehr ausstellen.

Was ist das Certification Authority Browser Forum?

Das CAB oder CA/Browser Forum ist ein Zusammenschluss namhafter Zertifizierungsstellen und Anbietern von Webbrowsern und weiteren –applikationen. Das Ziel der Vereinigung ist die Veröffentlichung von Standards und Regeln für die Ausstellung und Verwaltung von SSL-Zertifikaten, denen die CAs in aller Regel folgen. Mehr Infos beim Klick.

Welche Folgen hat das Ende der dreijährigen Laufzeit?

Bereits zum heutigen Zeitpunkt sollte von einer Bestellung von Zertifikaten mit einer Laufzeit von drei Jahren Abstand genommen werden. Deswegen haben einige Anbieter (wie zum Beispiel CertCenter) ihr Portfolio bereits dementsprechend angepasst. Andere Anbieter (unter anderem die Certificate Authorities direkt) bieten nach wie vor dreijährige SSL-Zertifikate an.

Die frühzeitige Berücksichtigung soll Laufzeitverlusten vorbeugen. Diese würden entstehen, wenn das Zertifikat neu ausgestellt werden muss. Typische Fälle hierfür sind, wenn das Zertifikat mit einer höheren Verschlüsselungstechnik verfügbar ist oder ein Verlust des Private Keys vorliegt. Eine solche Notwendigkeit ist nie ganz auszuschließen: Das beweist der Heartbleed Bug, der 2014 die Neuausstellung fast aller SSL-Zertifikate mit sich zog. Siehe hierzu auch unser Beitrag zu „Verschlüsselungsverfahren im Überblick“.

825 – Warum so eine komische Zahl?

Die Wahl von 825 Tagen mag zunächst willkürlich erscheinen. Sie basiert jedoch auf dem Anrechnungsverfahren von Restlaufzeiten. Bei einer Zertifikatsverlängerung lässt sich die Restlaufzeit des alten Zertifikats von üblicherweise bis zu drei Monaten auf das neue Zertifikat anrechnen. Die Laufzeit eines neuen Zwei-Jahres-Zertifikats beträgt daher maximal 365*2 + 31 + 30 + 31= 822 Tage. Die verbleibenden drei Tage sind Puffer.
Kalendarisch bewegen wir uns an der Schwelle. Mit der Anrechnung einer längeren Restlaufzeit ist bereits heute der Punkt erreicht, an dem bei einer Neuausstellung des Zertifikats Laufzeit verloren gehen würde. Aufgrund der Dauer von manuellen Validierungsverfahren sollte der Einfachheit halber bereits heute von der Ausstellung von Drei-Jahres-Zertifikaten Abstand genommen werden, denn nicht der Zeitpunkt der Beantragung ist entscheidend, sondern der der Zertifikatsausstellung. Und dieser Vorgang kann in manchen Fällen bis zu einem Monat dauern.


Ein Beispiel
Ein am 28. Februar 2018 ausgestelltes SSL-Zertifikat mit einer Laufzeit von drei Jahren muss aufgrund eines Fehlers am 1. März 2018 erneut ausgestellt werden. Das neue Zertifikat hätte eigentlich eine Restlaufzeit von 1.094 Tagen. Aufgrund der neuen Regelung wird das Zertifikat – da es nach dem 1. März 2018 (neu-)ausgestellt wurde – nur noch mit einer Restlaufzeit von 825 Tagen herausgegeben. Der Rest der Laufzeit verfällt.

Weitere Laufzeitkürzungen sind zu erwarten

Am 1. März 2015 liefen bereits die SSL-Zertifikate mit einer Laufzeit von vier Jahren aus. Danach belief sich die maximale Laufzeit auf 39 Monate (Drei Jahre plus drei Monate Pufferzeit). Jetzt hat das CAB Forum noch einmal nachgelegt und die Laufzeit für neu ausgestellte SSL-Zertifikate ab März nächsten Jahres auf 2,3 Jahre begrenzt. Die kürzeren Laufzeiten sollen zum einen der Verwendung veralteter Verschlüsselungsstandards entgegenwirken, zum anderen den Zertifizierungsstellen die Möglichkeit geben, noch flexibler auf Sicherheitsanforderungen reagieren zu können.

Es ist davon auszugehen, dass das CAB Forum weitere Laufzeitkürzungen beschließen wird. Möglicherweise könnten in naher Zukunft Ein-Jahres-Modelle Usus werden. Bestrebungen seitens Google Inc. hierzu bestehen bereits.

,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Performance-Monitoring-Tool Apache JMeter im praktischen Einsatz

Cloud, Hosting, IT-News

Performance-Monitoring-Tool Apache JMeter im praktischen Einsatz

Apache JMeter ist eine quelloffene, sg. Open-Source Anwendung zum Überprüfen der Performance von Servern. Das in Java geschriebenes Werkzeug erlaubt das Ausführen von Lasttests...

weiter lesen

Achtung Ransomware – die wichtigsten Verhaltensmaßnahmen

IT Security

Achtung Ransomware – die wichtigsten Verhaltensmaßnahmen

Unsere Tipps wie man sich vor den Trojanern schützen kann.

weiter lesen

DNSSEC, DANE und SSL

IT Security

DNSSEC, DANE und SSL bei Filoo

Wir haben Maßnahmen implementiert, um DNSSEC bei Filoo einzuführen.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

„Recruit a Friend“ – Mitarbeiterempfehlungen als Recruitingmaßnahme

Eine Win-Win-Situation für Mitarbeiter, Bewerber und Arbeitgeber.

weiter lesen

Cloud

Adacor Experten auf IT-Leiter-Kongress treffen

Treffen Sie die Cloud-Experten der Adacor Group auf dem Deutschen IT-Leiter-Kongress. Wir laden Sie ein. Weitere Infos jetzt im Blog lesen.

weiter lesen

Cloud, Hosting

Sichere Migration in die Cloud

Wie erkennt man frühzeitig die Herausforderungen beim Umzug in die Cloud und was muss man tun, um sie erfolgreich zu bewältigen?

weiter lesen