SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Mit SSL sicher verschlüsselt

SSL-Zertifikate waren bisher mit Laufzeiten zwischen einem und drei Jahren erhältlich. Ab 1. März 2018 ändert sich diese Auswahloption und die maximale Laufzeit wird auf 825 Tage begrenzt. Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

SSL-Zertifikate sorgen für eine sichere Onlinekommunikation zwischen Browser und Website. Besonders bei der Übertragung von persönlichen Daten über das Internet (wie etwa beim Onlinebanking oder –shopping) sind solche Zertifikate Standard. Wer ein SSL-Zertifikat benötigt, muss dies bei einer Zertifizierungsstelle (englisch: Certificate Authority – kurz CA – wie zum Beispiel Symantec) anfordern. Dort werden die Daten authentifiziert. Nach erfolgreicher Prüfung erhält der Bewerber sein SSL-Zertifikat.

Die Laufzeit von SSL-Zertifikaten konnte bisher individuell und bedarfsgerecht bestellt werden. Ein-, Zwei- und Drei-Jahres-Zertifikate waren möglich. Die letztere Option entfällt zukünftig. Denn wir das Certification Authority Browser Forum verkündete, dürfen neue SSL-Zertifikate ab 1. März 2018 nur noch eine maximale Laufzeit von 825 Tagen (das sind knapp 2,3 Jahre oder annähernd 27 Monate) haben. Das heißt, spätestens ab diesem Datum werden die CAs keine Zertifikate mit einer Laufzeit von drei Jahren mehr ausstellen.

Was ist das Certification Authority Browser Forum?

Das CAB oder CA/Browser Forum ist ein Zusammenschluss namhafter Zertifizierungsstellen und Anbietern von Webbrowsern und weiteren –applikationen. Das Ziel der Vereinigung ist die Veröffentlichung von Standards und Regeln für die Ausstellung und Verwaltung von SSL-Zertifikaten, denen die CAs in aller Regel folgen. Mehr Infos beim Klick.

Welche Folgen hat das Ende der dreijährigen Laufzeit?

Bereits zum heutigen Zeitpunkt sollte von einer Bestellung von Zertifikaten mit einer Laufzeit von drei Jahren Abstand genommen werden. Deswegen haben einige Anbieter (wie zum Beispiel CertCenter) ihr Portfolio bereits dementsprechend angepasst. Andere Anbieter (unter anderem die Certificate Authorities direkt) bieten nach wie vor dreijährige SSL-Zertifikate an.

Die frühzeitige Berücksichtigung soll Laufzeitverlusten vorbeugen. Diese würden entstehen, wenn das Zertifikat neu ausgestellt werden muss. Typische Fälle hierfür sind, wenn das Zertifikat mit einer höheren Verschlüsselungstechnik verfügbar ist oder ein Verlust des Private Keys vorliegt. Eine solche Notwendigkeit ist nie ganz auszuschließen: Das beweist der Heartbleed Bug, der 2014 die Neuausstellung fast aller SSL-Zertifikate mit sich zog. Siehe hierzu auch unser Beitrag zu „Verschlüsselungsverfahren im Überblick“.

825 – Warum so eine komische Zahl?

Die Wahl von 825 Tagen mag zunächst willkürlich erscheinen. Sie basiert jedoch auf dem Anrechnungsverfahren von Restlaufzeiten. Bei einer Zertifikatsverlängerung lässt sich die Restlaufzeit des alten Zertifikats von üblicherweise bis zu drei Monaten auf das neue Zertifikat anrechnen. Die Laufzeit eines neuen Zwei-Jahres-Zertifikats beträgt daher maximal 365*2 + 31 + 30 + 31= 822 Tage. Die verbleibenden drei Tage sind Puffer.
Kalendarisch bewegen wir uns an der Schwelle. Mit der Anrechnung einer längeren Restlaufzeit ist bereits heute der Punkt erreicht, an dem bei einer Neuausstellung des Zertifikats Laufzeit verloren gehen würde. Aufgrund der Dauer von manuellen Validierungsverfahren sollte der Einfachheit halber bereits heute von der Ausstellung von Drei-Jahres-Zertifikaten Abstand genommen werden, denn nicht der Zeitpunkt der Beantragung ist entscheidend, sondern der der Zertifikatsausstellung. Und dieser Vorgang kann in manchen Fällen bis zu einem Monat dauern.


Ein Beispiel
Ein am 28. Februar 2018 ausgestelltes SSL-Zertifikat mit einer Laufzeit von drei Jahren muss aufgrund eines Fehlers am 1. März 2018 erneut ausgestellt werden. Das neue Zertifikat hätte eigentlich eine Restlaufzeit von 1.094 Tagen. Aufgrund der neuen Regelung wird das Zertifikat – da es nach dem 1. März 2018 (neu-)ausgestellt wurde – nur noch mit einer Restlaufzeit von 825 Tagen herausgegeben. Der Rest der Laufzeit verfällt.

Weitere Laufzeitkürzungen sind zu erwarten

Am 1. März 2015 liefen bereits die SSL-Zertifikate mit einer Laufzeit von vier Jahren aus. Danach belief sich die maximale Laufzeit auf 39 Monate (Drei Jahre plus drei Monate Pufferzeit). Jetzt hat das CAB Forum noch einmal nachgelegt und die Laufzeit für neu ausgestellte SSL-Zertifikate ab März nächsten Jahres auf 2,3 Jahre begrenzt. Die kürzeren Laufzeiten sollen zum einen der Verwendung veralteter Verschlüsselungsstandards entgegenwirken, zum anderen den Zertifizierungsstellen die Möglichkeit geben, noch flexibler auf Sicherheitsanforderungen reagieren zu können.

Es ist davon auszugehen, dass das CAB Forum weitere Laufzeitkürzungen beschließen wird. Möglicherweise könnten in naher Zukunft Ein-Jahres-Modelle Usus werden. Bestrebungen seitens Google Inc. hierzu bestehen bereits.

,


Weitere Artikel zum Thema lesen

Erfahrungsbericht - Refactoring eines großen Softwareprojekts

Hosting, IT-News

Erfahrungsbericht – Refactoring eines großen Softwareprojekts

Für einen Kunden haben wir die groß angelegte Umbauaktion eines Intranet Systems mit 4,5 Mio. Zeilen Code umgesetzt. In diesem Beitrag dokumentieren wir für...

weiter lesen

Denial of Service

IT Security

Staugefahr im Netz

Denial-of-Service-Angriffe lösen gigantischen Traffic aus.

weiter lesen

Details zu weltweiten Datenschutzgesetzen

IT Security

Details zu weltweiten Datenschutzgesetzen

Das GCRC informiert über Datenschutz-Bestimmungen.

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Einfluss der Alles-ist-Service-Doktrin

Cloud

Was XaaS bedeutet

Der Einfluss der Alles-ist-Service-Doktrin auf die IT.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.