Google möchte Laufzeiten für TLS-Zertifikate verkürzen

Zertifikate für Web-Server sollen statt wie bisher ein Jahr nur noch maximal 90 Tage gültig sein, fordert Google – das hätte heftige Konsequenzen.

In Pocket speichern vorlesen Druckansicht 1071 Kommentare lesen
Zertifikat

(Bild: Timofeev Vladimir/Shutterstock.com)

Lesezeit: 2 Min.

Die lange Gültigkeitsdauer digitaler Zertifikate für Webserver sind Google ein Dorn im Auge. Der Internetkonzern aus Mountain View schlägt daher vor, die maximale Laufzeit für ein TLS-Serverzertifikat auf maximal 90 Tage zu begrenzen. Das bedeutet eine deutliche Verkürzung der 398 Tage Maximallaufzeit, die aktuell durch die Baseline Requirements des CA/Browser Forums festgelegt sind.

Die Kalifornier begründen ihren Vorschlag in einem Blogartikel beim Chromium Project mit der dringend notwendigen Abkehr von manuellen, fehlerbehafteten Vergabeprozessen hin zu voll automatisierter Zertifikatsausstellung. Aber auch die nach wie vor ungenügenden Mechanismen zur Sperrung von Zertifikaten – weder die ursprünglich dafür eingeführten Sperrlisten (CRLs) noch das Protokoll OCSP sind vollständig wirksam – nennen die Chromium-Entwickler als Grund für ihr Ansinnen.

Neben kürzeren Laufzeiten möchte Google weitere Änderungen im CA-Ökosystem durchführen. So sollen Zertifizierungsstellen sich künftig auf die Ausstellung eines einzigen Zertifikatstyps konzentrieren – derzeit werden häufig neben TLS-Serverzertifikaten auch solche zur digitalen Signatur von Software durch dieselbe CA ausgestellt. Dieser Umstand macht die Zertifizierungsstellen für Angreifer wie etwa Malware-Gangs doppelt attraktiv.

Die automatisierte Vergabe von Zertifikaten wurde durch Let's Encrypt auf breiter Basis eingeführt und mittlerweile über 3 Milliarden Mal erfolgreich durchgeführt. Das zugrundeliegende ACME-Protokoll möchte Google künftig zum Pflichtprogramm für CAs machen. Das, so die Autoren des Blogartikels, soll das gesamte Ökosystem agiler und resilienter machen.

Die kommerziellen Zertifizierungsstellen, deren Geschäftsmodell auf der Ausstellung digitaler Zertifikate basiert, dürften nicht übermäßig erfreut über den Vorstoß aus Mountain View sein. Fällt damit doch der letzte verbliebene Grund weg, sich ein Zertifikat bei ihnen erstellen zu lassen. Das Geschäft mit der teuren Extended Validation hatten Google und Mozilla bereits ruiniert, indem die Browser diese nicht mehr als besonders sicher hervorhoben.

Doch Googles Chrome-Browser hat einen Marktanteil von über 65 Prozent, viele weitere Browser wie Edge, Samsung Internet und Opera basieren auf dem Chromium-Projekt. Mit dieser geballten Marktmacht ist Googles Stimme im CA/Browser Forum sehr gewichtig und es steht zu vermuten, dass andere Hersteller die Initiative unterstützen.

(ju)