Verkürzte Laufzeit für SSL/TLS-Zertifikate: Apple prescht offenbar vor
Auf Apple-Geräten werden Webseiten demnächst als unsicher markiert, wenn ihr Zertifikat länger als 13 Monate gültig ist.
Apple läutet das Ende der Zwei-Jahres-Zertifikate ein: Ab dem 1. September reduziert der Hersteller offenbar die Gültigkeit neu ausgegebener TLS-Zertifikate auf maximal 398 Tage, das ist fast eine Halbierung der bisherigen Gültigkeit von bis zu zwei Jahren. Die Ankündigung sei auf dem CA/Browser-Forum, einem Branchengremium aus Zertifizierungsstellen und Betriebssystem- sowie Browser-Herstellern, in der slowakischen Hauptstadt Bratislava erfolgt, wie ein Zertifikatanbieter berichtet. Eine offizielle Ankündigung von Apple liegt bislang nicht vor.
Safari markiert Seiten als unsicher
Der Apple-Browser Safari wird demnach auf iPhones, iPads und Macs künftig alle Webseiten als unsicher markieren, deren ab dem 1. September 2020 ausgegebenes Zertifikat länger als 13 Monate gültig ist. Vor dem Stichtag ausgegebene Zertifikate werden weiterhin akzeptiert, auch wenn diese noch eine Laufzeit von zwei Jahren aufweisen, erklärt der Zertifikatanbieter Digicert.
Google habe schon im vergangenen Jahr versucht, eine derart verkürzte Laufzeit für TLS-Zertifikate durchzubringen, sei aber an großem Widerstand gescheitert – wegen der Sorge um erheblichen Mehraufwand für IT-Teams und Seitenbetreiber, führt Digicert aus.
Apple verweist auf Schutz der Nutzer
Apple habe die Entscheidung nun "unilateral getroffen", der "Schutz der Nutzer" sei vom dem Konzern als Grund angeführt worden. Kürzer gültige Zertifikate können für eine höhere Sicherheit sorgen, da sie im Fall einer Kompromittierung ein geringeres Zeitfenster für Angriffe bieten, so die Zertifikatfirma. Zudem bleiben vernachlässigte Zertifikate mit einem veralteten Algorithmus nur für begrenzte Zeit im Einsatz. Die Gültigkeit für SSL/TSL-Zertifikate war im Frühjahr 2018 erst von drei auf seitdem zwei Jahre reduziert worden.
Apple hat seit längerem außerdem vor, eine Transportverschlüsselung auch für Apps zur Pflicht zu machen, um keine ungesicherten HTTP-Verbindungen mehr zuzulassen. Die Frist wurde aber auf unbestimmte Zeit verlängert, um Entwicklern mehr Zeit für die Umstellung einzuräumen. (lbe)