Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von f\u00fcnf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang daf\u00fcr gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. Das ist mit Vorteilen f\u00fcr die Sicherheit verbunden, jedoch auch mit Nachteilen in der Administration. Wir fassen zusammen, wann welche Zertifikatslaufzeiten durch wen ver\u00e4ndert wurden, und werfen einen Blick auf die Hintergr\u00fcnde dieser Entwicklungen und welchen Einfluss diese auf die Laufzeiten von SSL-Zertifikaten hatten.<\/p>\n
Die gro\u00dfe Diskussion um die Laufzeit von SSL-Zertifikaten begann etwa im Jahre 2015. Vorher waren f\u00fcnfj\u00e4hrige Laufzeiten f\u00fcr SSL-Zertifikate durchaus g\u00e4ngig. Zust\u00e4ndig f\u00fcr Fragen rund um SSL-Zertifikate ist mit dem CA\/Browser Forum ein Zusammenschluss aus verschiedenen Interessengruppen der PKI-Branche, mitunter Zertifizierungsstellen und Webbrowser-Hersteller. Dieses CA\/Browser Forum diskutiert und entscheidet unter anderem \u00fcber die Mindestanforderungen an Zertifizierungsstellen. Auch in der Diskussion um die SSL-Zertifikat-Laufzeit war das CA\/Browser Forum immer mit dabei – bis Apple seinen Alleingang startete. Eine \u00fcbersichtliche Abfolge der Ereignisse liefert die folgende Roadmap:<\/p>\n
Waren vor 2015 SSL-Zertifikate mit Laufzeiten von f\u00fcnf Jahren sehr g\u00e4ngig, war es damit nun vorbei: Das CA\/Browser Forum einigte sich mit allen Beteiligten darauf, die SSL-Laufzeit auf 36 Monate zu limitieren. Davon z\u00e4hlten drei Jahre zur eigentlichen Laufzeit, drei Monate wurden als Puffer zum Erneuern eines Zertifikats angeh\u00e4ngt.<\/p>\n
Wieder war das CA\/Browser Forum Impulsgeber zu einer weiteren Reduktion der Laufzeit von SSL-Zertifikaten: Am 17. M\u00e4rz ver\u00f6ffentlichten die Mitglieder des CA\/Browser Forums, dass man die maximale Laufzeit von SSL-Zertifikaten auf 825 Tage, also zwei Jahre begrenze. Wieder wurde also ein weiteres Laufzeit-Jahr gestrichen.<\/p>\n
Die Planung aus 2017 wurde zum 01. M\u00e4rz 2018 dann in die Tat umgesetzt: SSL-Zertifikate erhielten eine maximale Laufzeit von zwei Jahren.<\/p>\n
Der im CA\/Browser Forum aktive Google-Vertreter Ryan Sleevi legte im Juni 2019 erneut den Vorschlag vor, die G\u00fcltigkeit von SSL-Zertifikaten weiter herabzusetzen. Sein Ziel war es, die SSL-Laufzeit auf 13 Monate zu minimieren. Au\u00dfer einigen leidenschaftlichen Diskussionen gab es jedoch keine Ergebnisse \u2013 man munkelte sogar, es handle sich um reine Machtk\u00e4mpfe im HTTPS-\u00d6kosystem. \u00dcber das F\u00fcr und Wider der Reduktion von SSL-Zertifikat-Laufzeiten und \u00fcber die Argumente der verschiedenen Seiten berichteten wir seinerzeit<\/a>.<\/p>\n Anfang des Jahres 2020 sorgte Apple f\u00fcr eine \u00dcberraschung: Eigenst\u00e4ndig setzte der US-Gigant die Laufzeit von SSL-Zertifikaten im hauseigenen Safari-Browser auf ein Jahr herab; wir berichteten<\/a>. Dass andere Browser-Entwickler sich dem anpassen mussten, verstand sich von selbst, und so zogen im August 2020 auch Mozilla mit Firefox und Google mit Chrome nach. Somit wurde die SSL-Zertifikat-Laufzeit mit dem 01. September 2020 auf ein Jahr bzw. maximal 398 Tage herabgesetzt.<\/p>\n Zertifizierungsstellen sind von Browsern abh\u00e4ngig \u2013 und Browser von Zertifizierungsstellen: Browser m\u00fcssen die Zertifikate der Zertifizierungsstellen nutzen, um Verbindungen zu sichern und Vertrauensentscheidungen \u00fcber Websites treffen zu k\u00f6nnen. Ein vonseiten der Zertifizierungsstelle g\u00fcltiges Zertifikat n\u00fctzt niemandem etwas, wenn es der Browser nicht als vertrauensw\u00fcrdig erkennt. Eben dieser Prozess wird \u00fcber sogenannte Root-Programme gehandhabt, von denen es vier relevante gibt: Google, Microsoft, Mozilla sowie Apple.<\/p>\n Diese Root-Programme stehen auch hinter den wichtigsten Browsern: Chrome, Edge, Firefox und Safari. Damit SSL-Zertifikate der Zertifizierungsstellen von den Root-Programmen \u2013 und damit nat\u00fcrlich auch von den dahinterstehenden Browsern sowie Betriebssystemen \u2013 als vertrauensw\u00fcrdig erkannt werden, m\u00fcssen sie die Richtlinien der Root-Programme erf\u00fcllen.<\/p>\n Die Root-Programme nehmen als Browser am CA\/Browser Forum teil. Sie k\u00f6nnen nach wie vor \u00c4nderungen vornehmen, die im eigenen Ermessen liegen \u2013 wie es auch Apple getan hat. Hier hat das CA\/Browser Forum als Ganzes wenig Macht: Dieses Branchenforum kann maximal dazu beitragen, \u00c4nderungen, die von Root-Programmen vorgegeben werden, zu erleichtern. Die Praxis zeigt es: Apple hat als Root-Programm eigenm\u00e4chtig die K\u00fcrzung der SSL-Zertifikat-Laufzeit angek\u00fcndigt, alle anderen m\u00fcssen zwangsl\u00e4ufig mitziehen.<\/p>\n Das Verk\u00fcrzen von Laufzeiten in der SSL-Welt bringt zweifelsohne diverse Vorteile mit sich, insbesondere in Hinblick auf die Sicherheit der SSL-Verschl\u00fcsselung:<\/p>\n Auf der Seite der Kritiken gibt es ein Hauptargument: Sowohl der Endnutzende als auch die Zertifizierungsstelle haben einen h\u00f6heren Aufwand zu stemmen, was auch mit erh\u00f6hten Kosten verbunden sein kann.<\/p>\n Schaut man sich die Argumente auf beiden Seiten an, wird schnell deutlich, dass die Diskussion um die Laufzeiten von SSL-Zertifikaten sinnvoll ist. Bef\u00fcrworter und Kritiker k\u00fcrzerer SSL-Laufzeiten haben \u00fcberzeugende Gr\u00fcnde f\u00fcr ihren Standpunkt.<\/p>\n Gl\u00fccklicherweise gibt es auch auf Anbieter-Seite genug Kreativit\u00e4t, wie es gelingen kann, den Aufwand und damit die Kosten aufseiten des Endnutzenden geringer zu halten: Wir, die PSW GROUP, haben ein Abo-Modell f\u00fcr alle unsere SSL-Zertifikate entwickelt. Alle angebotenen SSL-Zertifikate k\u00f6nnen in unterschiedlichen Paketen mit Laufzeiten von eins bis vier Jahren erworben werden. Technisch werden dabei alle aktuellen Vorgaben eingehalten \u2013 das SSL-Zertifikat wird regelm\u00e4\u00dfig erneuert. Dank Automatisierung k\u00f6nnen Nutzende dadurch unter anderem zeitlichen Aufwand einsparen, sodass der Komfort deutlich erh\u00f6ht wird \u2013 ganz ohne Sicherheitseinbu\u00dfen.<\/p>\n Auch mit unserer PSW Konsole gehen wir den Weg der Automatisierung. Lassen Sie sich tatkr\u00e4ftig unterst\u00fctzen und verwalten Sie Ihre Zertifikate unb\u00fcrokratisch und \u00fcbersichtlich. Haben Sie Fragen zur SSL-Zertifikat-Laufzeit im Allgemeinen oder zu unserer Zertifikatsverwaltung im Besonderen, kontaktieren<\/a> Sie uns einfach \u2013 wir kommen gerne ins Gespr\u00e4ch mit Ihnen!<\/p>\n <\/p>\n <\/p>\n Gender-Disclaimer:2020: Apple reduziert SSL-Zertifikat-Laufzeit eigenst\u00e4ndig<\/h3>\n
G\u00fcltigkeit von SSL-Zertifikaten: Hintergr\u00fcnde kurz erkl\u00e4rt<\/h2>\n
K\u00fcrzere SSL-Zertifikat-Laufzeit: Vor- und Nachteile<\/h3>\n
\n
SSL-Zertifikat-Laufzeit: Argumente sind berechtigt<\/h2>\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n