Beschlossen: Lebensdauer für TLS-Serverzertifikate sinkt auf 47 Tage
Von derzeit maximal dreizehn Monaten sinkt die Gültigkeit auf anderthalb. Allerdings mit jahrelanger Übergangsfrist für Admins.
Die Web-PKI und das CA/Browser-Forum gefällig zu visualisieren, fällt selbst der KI recht schwer.
(Bild: Erstellt mit Grok für heise security / Bearbeitung: cku)
Die maximale Laufzeit von digitalen Zertifikaten für verschlüsselte Verbindungen zu Web- und anderen Servern wird sich künftig drastisch verkürzen. Im Jahre 2029 sind diese statt mit 398 Tagen nur noch mit 47 Tagen Laufzeit ausgestattet. Das hat das CA/Browser Forum per Abstimmung beschlossen und folgt damit einem Vorschlag von Apple.
Vor allem die Browserhersteller haben schon lange Bauchschmerzen bei den üblichen Laufzeiten für Serverzertifikate. Ihnen sind etwa fehlende Möglichkeiten der Löschung betrügerisch oder falsch ausgestellter Zertifikate ein Dorn im Auge, die vorhandenen Methoden (OCSP und CRLs) skalieren schlecht. Daher hatte sich Apple Ende 2024 mit dem Vorschlag vorgewagt und sich Unterstützung weiterer Mitglieder des CA/Browser Forums gesichert. Ein Vorstoß von Google aus dem Jahr 2023 war noch gescheitert.
Beim CA/Browser Forum (CA/B) ist der Name Programm: Browserhersteller und Certificate Authorities (CAs) wachen in dem Zusammenschluss über die ordnungsgemäße Ausstellung und Verarbeitung von Zertifikaten. In der Hauptsache befasst sich das CA/B mit der Web-PKI (also den Zertifikaten, die für das "s" in "https" sorgen), hat aber auch Arbeitsgruppen für S/MIME und andere eher browserferne PKI-Anwendungen. Das CA/B legt fest, welche Zertifikatsherausgeber von Browsern akzeptiert werden – CAs, die durch schlampige Überprüfung oder unsichere Vergabepraxis auffallen, fliegen raus.
Hören Sie auch: "Passwort", der heise-security-Podcast
"Passwort" Folge 29: Security-News und Feedback von Oracle bis Web-PKI
"Passwort" Folge 28: Smartphonedurchsuchung wider Willen
"Passwort" Folge 27: News von Verschlüsselungsangriffen bis Kryptodiebstahl
"Passwort" Folge 26: Homomorphe Verschlüsselung
"Passwort" Folge 25: Staatlich sanktionierte Schnüffelsoftware
Auch am Überprüfungsvorgang vor der Ausstellung oder Verlängerung der Zertifikate schraubt das CA/B. War es zuvor möglich, die notwendigen Identifikationen, also etwa automatisierte ACME-Challenges oder auch Firmendokumente, mehr als ein Jahr lang für erneute Ausstellungen oder Verlängerungen zu recyclen, verkürzt sich dieser Zeitraum schrittweise auf nur noch zehn Tage. Das bedeutet in der Praxis, dass Antragsteller für jedes neue Zertifikat alle relevanten Dokumente erneut bei der CA vorzeigen müssen. Wohl dem, der diesen Vorgang bis zum Jahr 2029 vollständig automatisiert hat.
Knapp vier Jahre Übergangsfrist
Denn Webserver-Admins können vorerst aufatmen. Die verkürzte Laufzeit tritt nämlich nicht sofort in Kraft, sondern in einem jahrelangen Prozess mit mehreren Zwischenschritten:
- Ab dem 15. März 2026 verkürzt sich die Laufzeit auf maximal 200 Tage,
- nach dem 15. März 2027 halbiert sie sich auf 100 Tage und
- erst zwei Jahre später, ab dem 15. März 2029, müssen Serverzertifikate nach 47 Tagen erneuert werden.
Das Votum der CA/B-Mitglieder fiel eindeutig aus: Neunundzwanzig Ja- und keine Gegenstimmen, fünf CAs enthielten sich.
Die nach Zertifikatsmenge mit Abstand größte CA Let's Encrypt hat indes eigene Zeitpläne. Sie führt für ihre Kunden die Möglichkeit ein, nur sechs Tage gültige Zertifikate zu ordern und bietet bereits seit ihrer Gründung keine längeren Laufzeiten als 90 Tage an. Über Let's Encrypt waren im April 2025 über 500 Millionen gültige Zertifikate registriert, zehnmal so viel wie beim zweitplatzierten Sectigo.
(cku)