TLS-Zertifikate: Apple schlägt maximale Laufzeit von 45 Tagen vor
Nachdem Google mit einem ähnlichen Ansinnen gescheitert ist, probiert Apple es erneut und legt einen konkreten Zeitplan vor. Die Resonanz ist gemischt.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Apple möchte die Laufzeit von TLS-Zertifikaten ab 2027 auf 45 Tage begrenzen. Das hat der Konzern dem CA/Browser Forum vorgeschlagen. Die Zertifikate werden zur Verschlüsselung der HTTPS-Verbindungen zwischen Webserver und Client verwendet. Eine Verkürzung der Laufzeit würde, so die Befürchtung vieler Kritiker, Prozesse zur Verlängerung erschweren – Befürworter pochen hingegen auf nachweisbare Sicherheitsgewinne.
Schrittweise Verkürzung
TLS- oder SSL-Zertifikate, die formal X.509-Zertifikate heißen, sind derzeit maximal dreizehn Monate (398 Tage) gültig, die häufig verwendeten kostenlosen Zertifikate von "Let's Encrypt" lediglich 90 Tage. Server-Administratoren, die auf Let's Encrypt setzen, verwenden zur Erneuerung daher häufig automatisierte Werkzeuge, die auf dem ACME-Protokoll (Automatic Certificate Management Environment) aufbauen. Solche Automatismen sind weniger fehlerträchtig als händische Prozesse.
In einem auf Github veröffentlichten Entwurf für einen Abstimmungsvorschlag, den sogenannten Ballot SC-081, legt Apple den Zeitplan für die Laufzeitverkürzung dar. Beginnend mit dem 15. September 2025 solle die Gültigkeitsdauer schrittweise von derzeit 398 auf künftig 45 Tage gesenkt werden.
| Zeitpunkt | Maximale Laufzeit in Tagen |
| aktuell | 398 |
| 15. September 2025 | 200 |
| 15. September 2026 | 100 |
| 15. April 2027 | 45 |
Google hat bereits im vergangenen Jahr versucht, die Laufzeit aller TLS-Zertifikate auf 90 Tage zu beschränken, ist damit aber nicht überall auf Gegenliebe gestoßen. Von der seinerzeit deutlich formulierten Idee ist das Google-Team jedoch mittlerweile abgerückt. Die entsprechende Projekt-Seite enthält lediglich den vagen Passus, Google "untersuche die Auswirkungen einer Reduktion von 397 Tagen auf 90 Tage oder weniger". Noch im September dieses Jahres hieß es, Google plane die entsprechende Verkürzung in Chrome einzuführen oder zumindest dem CA/Browser Forum vorzuschlagen.
Lebhafte Diskussion
Auch Apples Vorschlag trifft nicht nur auf Gegenliebe. In der lebhaften Diskussion zum Vorschlag auf GitHub bilden sich die gewohnten Demarkationslinien zwischen Verfechtern der Verkürzung und entschiedenen Gegnern, oft Server-Administratoren. Während letztere Argumente wie schlechte Wartbarkeit, fehlende Updates für IoT-Geräte oder auch Auswirkungen auf Regionen ohne dauerhaften Internetzugang ins Feld führen, springt die Wissenschaft den Befürwortern bei. In einer Untersuchung weisen US-Wissenschaftler nach, dass eine Verkürzung der Zertifikatslaufzeit auf 90 Tage den Missbrauch verwaister Zertifikate um 75 Prozent senkt.
Auch unter den Zertifizierungsstellen, die ihr Geschäftsmodell durch Automatisierung und verkürzte Laufzeiten in Gefahr sehen, ist die Meinung uneinheitlich. Sectigo, die derzeit zweitgrößte CA nach Let's Encrypt, unterstützt den Vorschlag ausdrücklich und mahnt, es sei Zeit, die Zertifikatsverwaltung zu automatisieren – wohlgemerkt nicht ganz uneigennützig, sind eben diese Automatisierungslösungen doch ein wichtiges Standbein für Sectigo.
Nicht 10, sondern 45 Tage Laufzeit schlägt Apple vor – die in der ersten Version dieser Meldung genannten 10 Tage beziehen sich auf einen anderen Wert bei der Zertifikatserneuerung. Wir haben die entsprechenden Stellen korrigiert.
(cku)
