Browser-Hersteller verkürzen Zertifikats-Lebensdauer auf ein Jahr
Ab September dürfen HTTPS-Zertifikate nur noch auf maximal ein Jahr ausgestellt werden.
Die maximale Gültigkeit von Zertifikaten für den Identitätsnachweis im Web wird weiter verkürzt – im nächsten Schritt auf ein Jahr. Zwar scheiterte im September eine Abstimmung darüber im CA/Browser Forum noch am Widerstand der Zertifizierungsstellen. Doch im März preschte Apple vor und erklärte, Safari werde nach dem 1. September 2020 ausgestellte Zertifikate nur noch akzeptieren, wenn sie nicht länger als 1 Jahr gültig sind.
Jetzt ziehen auch Mozilla und Google nach und schaffen damit Fakten. Früher waren Laufzeiten von 5 Jahren nicht ungewöhnlich. Aktuell dürfen Zertifikate noch auf 2 Jahre (genauer: 825 Tage -- also plus etwas Karenz) ausgestellt werden. Mit der erneuten Verschärfung liefert etwa Chrome ein ERR_CERT_VALIDITY_TOO_LONG wenn ein Zertifikat nach dem 1. September 2020 ausgestellt wurde und länger als 398 Tage gültig ist.
Widerruf kaputt
Der Hauptgrund für die stetige Verkürzung der Zertifikats-Lebensdauer ist die Tatsache, dass es keinen allgemein funktionierenden Widerrufsmechanismus gibt, über den man ein Zertifikat sperren könnte. Sperrlisten (CRLs) und das Online Certificate Status Protocol (OCSP) haben sich als ungeeignet erwiesen und sind mittlerweile standardmäßig abgeschaltet.
Die Browser-Hersteller pflegen zwar noch eigene, interne Sperrlisten, über die sie auf akute Vorfälle reagieren können. Aber das ist ein quasi händisches Verfahren, das nur bedeutsame Problemfälle abdecken kann. Letztlich setzen die Browser-Hersteller jetzt auf Schadensbegrenzung: Wenn etwa der geheime Schlüssel eines Zertifikats gestohlen wird, soll ein möglichst bald nahendes Ablaufdatum das Problem aus der Welt schaffen.
Kein Handlungsbedarf für Nutzer
Das mittlerweile den Markt dominierende Lets Encrypt ist der Vorreiter und stellt die Zertifikate ohnehin nur auf 3 Monate aus. Die Verlängerung erfolgt dann automatisiert via ACME. Laut Mozilla haben sich aber auch die anderen Zertifizierungsstellen bereit erklärt, ab dem 1. September nur noch Zertifikate auf 398 Tage auszustellen. Angesichts der Machtdemonstration der Browser-Hersteller bleibt ihnen wohl auch nicht viel anderes übrig.
Als Web-Seitenbetreiber muss man nichts weiter tun –, auch wenn man noch ein Zertifikat mit längerer Gültigkeit in Betrieb hat. Die neue Regel gilt nur für Zertifikate, die nach dem 1. September 2020 ausgestellt werden.
(ju)
