TLS-Zertifikate: Apple schlägt maximale Laufzeit von 45 Tagen vor

Apple möchte die Laufzeit von TLS-Zertifikaten ab 2027 auf 45 Tage begrenzen. Das hat der Konzern dem CA/Browser Forum vorgeschlagen. Die Zertifikate werden zur Verschlüsselung der HTTPS-Verbindungen zwischen Webserver und Client verwendet. Eine Verkürzung der Laufzeit würde, so die Befürchtung vieler Kritiker, Prozesse zur Verlängerung erschweren – Befürworter pochen hingegen auf nachweisbare Sicherheitsgewinne.

Schrittweise Verkürzung

TLS- oder SSL-Zertifikate, die formal X.509-Zertifikate heißen, sind derzeit maximal dreizehn Monate (398 Tage) gültig, die häufig verwendeten kostenlosen Zertifikate von "Let's Encrypt" lediglich 90 Tage. Server-Administratoren, die auf Let's Encrypt setzen, verwenden zur Erneuerung daher häufig automatisierte Werkzeuge, die auf dem ACME-Protokoll (Automatic Certificate Management Environment) aufbauen. Solche Automatismen sind weniger fehlerträchtig als händische Prozesse.

In einem auf Github veröffentlichten Entwurf für einen Abstimmungsvorschlag, den sogenannten Ballot SC-081, legt Apple den Zeitplan für die Laufzeitverkürzung dar. Beginnend mit dem 15. September 2025 solle die Gültigkeitsdauer schrittweise von derzeit 398 auf künftig 45 Tage gesenkt werden.

Zeitpunkt	Maximale Laufzeit in Tagen
aktuell	398
15. September 2025	200
15. September 2026	100
15. April 2027	45

Google hat bereits im vergangenen Jahr versucht, die Laufzeit aller TLS-Zertifikate auf 90 Tage zu beschränken, ist damit aber nicht überall auf Gegenliebe gestoßen. Von der seinerzeit deutlich formulierten Idee ist das Google-Team jedoch mittlerweile abgerückt. Die entsprechende Projekt-Seite enthält lediglich den vagen Passus, Google "untersuche die Auswirkungen einer Reduktion von 397 Tagen auf 90 Tage oder weniger". Noch im September dieses Jahres hieß es, Google plane die entsprechende Verkürzung in Chrome einzuführen oder zumindest dem CA/Browser Forum vorzuschlagen.

Lebhafte Diskussion

Auch Apples Vorschlag trifft nicht nur auf Gegenliebe. In der lebhaften Diskussion zum Vorschlag auf GitHub bilden sich die gewohnten Demarkationslinien zwischen Verfechtern der Verkürzung und entschiedenen Gegnern, oft Server-Administratoren. Während letztere Argumente wie schlechte Wartbarkeit, fehlende Updates für IoT-Geräte oder auch Auswirkungen auf Regionen ohne dauerhaften Internetzugang ins Feld führen, springt die Wissenschaft den Befürwortern bei. In einer Untersuchung weisen US-Wissenschaftler nach, dass eine Verkürzung der Zertifikatslaufzeit auf 90 Tage den Missbrauch verwaister Zertifikate um 75 Prozent senkt.

Auch unter den Zertifizierungsstellen, die ihr Geschäftsmodell durch Automatisierung und verkürzte Laufzeiten in Gefahr sehen, ist die Meinung uneinheitlich. Sectigo, die derzeit zweitgrößte CA nach Let's Encrypt, unterstützt den Vorschlag ausdrücklich und mahnt, es sei Zeit, die Zertifikatsverwaltung zu automatisieren – wohlgemerkt nicht ganz uneigennützig, sind eben diese Automatisierungslösungen doch ein wichtiges Standbein für Sectigo.

(cku)