Kürzere Laufzeiten für TLS-Zertifikate: Apple macht ernst
iPhones, iPads und Macs vertrauen künftig nur noch Zertifikaten, die maximal 13 Monate gültig sind. Wird das missachtet, komme es zu App- und Web-Problemen.
(Bild: dpa, Andrea Warnecke)
Apple erzwingt kürzere Laufzeiten für TLS-Server-Zertifikate: Ab dem 1. September 2020 ausgegebene SSL/TLS-Zertifikate dürfen nicht mehr länger als 398 Tage gültig sein, wie der Konzern nun mitteilte.
Verbindungen zu Servern, die sich nicht an die neue Vorgabe halten, schlagen künftig fehl, warnt der iPhone-Hersteller. Das könne zu Netzwerk- und App-Versagen führen sowie verhindern, dass Webseiten auf Apple-Geräten wie iPhones und Macs geladen werden.
Warnung vor App- und Netzwerkproblemen
Die Änderung betrifft alle TLS-Server-Zertifikate, die von einer Root-Zertifizierungsinstanz (Certificate Authority – CA) ausgegeben wurden, die auf den Betriebssystemen iOS, iPadOS, macOS, watchOS und tvOS vorinstalliert sind. Apple empfiehlt, die Gültigkeit der Zertifikate künftig auf maximal 397 Tage zu begrenzen.
Zertifikate, die von durch den Nutzer oder Administratoren auf Geräten ergänzte Root-CAs ausgegeben wurden, seien von der Änderung nicht betroffen, erklärt das Unternehmen in einem neuen Support-Dokument über die kommenden "Einschränkungen bei vertrauenswürdigen Zertifikaten". Alle TLS-Zertifikate, die noch vor dem 1. September 2020 ausgestellt wurden oder werden, seien weiterhin akzeptiert – auch wenn sie eine längere Laufzeit aufweisen.
Apple: Mehr Sicherheit für Nutzer
Die Maßnahme sei Teil der Bemühungen, die "Web-Sicherheit unserer Nutzer zu verbessern", erklärte Apple. Der Konzern bestätigte damit Berichte über eine entsprechende Änderung von Ende Februar, die Ankündigung war offenbar bereits auf dem CA/Browser-Forum, einem Branchengremium aus Zertifizierungsstellen und Betriebssystem- sowie Browser-Herstellern, erfolgt.
t
Google habe 2019 bereits versucht, die ebenso auf gut ein Jahr verkürzte Laufzeit für TLS-Zertifikate durchzubringen, sei damit aber an dem Widerstand von Webseitenbetreibern und IT-Teams gescheitert, die einen erheblichen Mehraufwand erwarten, hieß es zuvor. Die Gültigkeit für SSL/TSL-Zertifikate war erst im Frühjahr 2018 von drei auf zwei Jahre reduziert worden. (lbe)
