Der Suchmaschinenriese Google hat den Vorschlag eingebracht, die G\u00fcltigkeitsdauer von SSL-Zertifikaten herunterzusetzen. Neu ist dieser Vorschlag nicht: Schon bei der letzten Abstimmung stand er zur Debatte. Ryan Sleevi, einer der Vertreter von Google, legte den Vorschlag jedoch erstmals im Juni dem CA\/B-Forum vor. Die G\u00fcltigkeitsdauer von SSL-Zertifikaten soll von derzeit zwei Jahren auf 13 Monate reduziert werden.<\/p>\n
Interessengruppen der PKI-Branche versammeln sich im CA\/B-Forum (CA\/Browser-Forum<\/a>): Zertifizierungsstellen (\u201cCertificate Authority\u201d, CA – jene Unternehmen, die SSL-Zertifikate ausstellen) sowie vertrauensw\u00fcrdige Parteien (Softwarehersteller, u. a. Browserentwickler) sind daf\u00fcr zust\u00e4ndig, Standards und Praktiken zu entwickeln, die das \u00f6ffentliche PKI-\u00d6kosystem sicherer gestalten.<\/p>\n Bisher handelt es sich lediglich um einen Vorschlag, um eine Idee, die diskutiert werden muss. Noch in der Entwurfsphase befindlich, existiert bislang keine Best\u00e4tigung, wann eine Abstimmung zu dieser Planung erfolgen wird. Gemunkelt wird, dass es neue Regelungen ab M\u00e4rz 2020 geben k\u00f6nnte, best\u00e4tigt ist dies jedoch noch nicht.<\/p>\n Im Jahr 2017 gab es die Idee schon einmal: Das CA\/B-Forum \u00fcberlegte, die Lebensdauer von SSL-Zertifikaten von 39 Monaten auf 13 zu verk\u00fcrzen. Man einigte sich schlie\u00dflich darauf, zum Jahre 2018 die maximale Zertifikats-Lebensdauer von 39 Monaten auf 27 Monate zu verk\u00fcrzen (wir berichteten<\/a>) – kein allzu gro\u00dfer Sprung also.<\/p>\n Warum wird nun erneut \u00fcber eine Verk\u00fcrzung der Lebensdauer von SSL-Zertifikaten nachgedacht? Und was sagen eigentlich die Zertifizierungsstellen dazu?<\/p>\n Wird die G\u00fcltigkeitsdauer von SSL-Zertifikaten herabgesetzt, so erhofft man sich dadurch eine Erh\u00f6hung der Sicherheit sowohl im World Wide Web als auch f\u00fcr Maschinenidentit\u00e4ten. W\u00fcrde beispielsweise heute ein Zertifikat kompromittiert, welches eine G\u00fcltigkeit von 27 Monaten aufweist, so kann es innerhalb dieser Zeit f\u00fcr b\u00f6sartige Zwecke missbraucht werden. Durch einen Man-in-the-middle-Angriff w\u00e4re es m\u00f6glich, \u00fcber die Lebensdauer des Zertifikats den Datenverkehr zwischen Benutzer und Server zu beobachten, abzufangen und zu manipulieren.<\/p>\n Ein k\u00fcrzerer Lebenszyklus von SSL-Zertifikaten w\u00fcrde dar\u00fcber hinaus dazu beitragen, dass Websites die aktuelle Kryptographie nebst aktuellen Hashings verwenden. Cyberkriminalit\u00e4t lie\u00dfe sich reduzieren, denn ein gestohlenes SSL-Zertifikat w\u00fcrde ein Jahr fr\u00fcher als bisher als veraltet gelten und nutzlos werden.<\/p>\n Sicherheitsforscher Sean Wright ist \u00fcberzeugt: Da es zum Widerrufen von SSL-Zertifikaten derzeit keine wirksame L\u00f6sung gibt, seien kurzlebige Zertifikate \u201cdie beste L\u00f6sung, die wir derzeit zur Verf\u00fcgung haben\u201d. Auch Sicherheitsforscher Scott Helme ist von dieser Idee begeistert: Eine verk\u00fcrzte G\u00fcltigkeitsdauer w\u00fcrde das Problem des fehlenden Widerrufs \u201cbeheben\u201d; schlechte SSL-Zertifikate liefen schneller aus. Die Zertifizierungsstelle Sectigo (ehemals Comodo, wir berichteten<\/a>) sieht die neu entfachte Diskussion als Gelegenheit, die hauseigenen Tools zur Automatisierung der Verl\u00e4ngerung von SSL-Zertifikaten zu betonen.<\/p>\n Die Zertifizierungsstellen (CAs) sind jedoch wenig begeistert von der Idee, die G\u00fcltigkeitsdauer von SSL-Zertifikaten noch weiter herabzusetzen. Der DigiCerts-Vertreter im CA\/B-Forum, Timothy Hollebeek, ist sich unsicher, ob Kosten und Aufwand einer Verk\u00fcrzung der Lebensdauer wirklich im Verh\u00e4ltnis zum Nutzen stehen. Schlie\u00dflich w\u00fcrde die Umstellung auf eine verk\u00fcrzte Laufzeit dazu f\u00fchren, dass dem K\u00e4ufer von SSL-Zertifikaten, also den Kunden der CA, h\u00f6here Kosten entstehen. Man m\u00fcsse mehr Personal einsetzen, um die SSL-Zertifikate auf dem neuesten Stand zu halten oder auch um Wartungsupdates auszuf\u00fchren, wenn ein SSL-Zertifikat ausl\u00e4uft. Hollebeek argumentiert zudem, dass \u201ck\u00fcrzere Lifetime-Zertifikate schnellere \u00dcberg\u00e4nge erm\u00f6glichen, wenn sich die Compliance-Regeln \u00e4ndern\u201d. Ob das wirklich ein guter Grund ist, erscheint uns fraglich, denn feststehende Standards sollten sich in aller Regel nicht so oft \u00e4ndern.<\/p>\n DigiCert argumentiert weiter, dass das Kontrollieren der Laufzeit von SSL-Zertifikaten als Sicherheitsma\u00dfnahme lediglich theoretisch sei. Praktisch jedoch h\u00e4tten jene Unternehmen einen Sicherheitsvorteil, \u201cdie ihre Sicherheitskontrollen und -richtlinien tats\u00e4chlich durchsetzen und die Automatisierung nutzen, um kompromittierte Schl\u00fcssel schnell zu entdecken\u201d.<\/p>\n Da ist was dran: Zweifellos w\u00fcrde die Zertifikatssicherheit davon profitieren, Unternehmen mehr Zeit zu geben, die Automatisierung voranzutreiben, Systeme testen zu k\u00f6nnen und auf eine m\u00f6gliche \u00c4nderung im Lebenszyklus von SSL-Zertifikaten vorbereitet zu sein.<\/p>\n Unabh\u00e4ngig von der Entscheidung also, ob eine Verk\u00fcrzung der G\u00fcltigkeitsdauer f\u00fcr SSL-Zertifikate stattfinden wird oder nicht, ist es wichtig, entsprechende Prozesse sowie Automationen zu etablieren. So lie\u00dfen sich die G\u00fcltigkeitspr\u00fcfung, aber auch das Management zum Erneuern abgelaufener SSL-Zertifikate effizient gestalten. M\u00f6gliche Probleme und Sicherheitsrisiken werden effektiv minimiert.<\/p>\n F\u00fcr eine Verk\u00fcrzung der G\u00fcltigkeitsdauer von SSL-Zertifikaten auf 13 Monate gibt es diverse Argumente. Eine reine Verk\u00fcrzung jedoch wird die Sicherheit nur geringf\u00fcgig erh\u00f6hen – automatisierte Prozesse mit entsprechendem Management f\u00fcr kompromittierte oder abgelaufene SSL-Zertifikate erg\u00e4nzen diese Ma\u00dfnahme sinnvoll.<\/p>\n Vielleicht ist dieser erneute Vorschlag einer Senkung der G\u00fcltigkeitsdauer auch nur ein Machtkampf. So sieht es zum Beispiel auch ZDNet<\/a>. So ginge es bei diesem Vorschlag letztlich nur um eine Frage: Wer kontrolliert die HTTPS-Landschaft?<\/p>\n Es bleibt abzuwarten, wie es weitergeht und ob es wirklich zu einer Abstimmung kommen wird. Selbstverst\u00e4ndlich verfolgen wir, die PSW GROUP, das Thema f\u00fcr Sie und berichten, sobald es Neuigkeiten gibt.<\/p>\n Die CA Sectigo hat ein Abo-Modell entwickelt, mit dem der Aufwand und die Kosten f\u00fcr Kunden reduziert werden k\u00f6nnen. Es sind nun also wieder 5-Jahres-Zertifikate erh\u00e4ltlich. Weitere Details verraten wir Ihnen in unserem Beitrag „SSL-Zertifikate mit 5-j\u00e4hriger Laufzeit<\/a>„.<\/p>\nDie Debatte zur SSL-Zertifikat-Laufzeit<\/h2>\n
Die Verk\u00fcrzung soll die Sicherheit von SSL-Zertifikaten erh\u00f6hen<\/h3>\n
Zertifizierungsstellen bef\u00fcrchten hohe Kosten<\/h3>\n
Die SSL-G\u00fcltigkeitspr\u00fcfung sollte im Fokus stehen<\/h3>\n
G\u00fcltigkeitsdauer von SSL-Zertifikaten \u2013 Blo\u00dfer Machtkampf?<\/h2>\n
Update, 05.11.2019: Sectigo bietet 5-Jahres-Zertifikate<\/h2>\n