Anfang M\u00e4rz k\u00fcndigte Google seine Absicht an, die maximale G\u00fcltigkeitsdauer von Zertifikaten f\u00fcr alle \u00f6ffentlich vertrauensw\u00fcrdigen SSL-Zertifikate auf nur 90 Tage zu reduzieren. Was hinter diesem Vorsto\u00df steckt und was eine 90 Tage Zertifikatsg\u00fcltigkeit f\u00fcr Unternehmen bedeutet, erfahren Sie in diesem Beitrag. Au\u00dferdem beleuchten wir M\u00f6glichkeiten, die Verwaltung von SSL-Zertifikaten durch Automatisierung zu erleichtern.<\/p>\n
<\/p>\n
Die Laufzeit von kommerziellen SSL-Zertifikaten<\/a> wird seit Jahren kontinuierlich reduziert. Wurden anfangs noch Zertifikate mit einer Laufzeit von bis zu f\u00fcnf Jahren ausgestellt, wurde 2015 die maximale G\u00fcltigkeit zun\u00e4chst auf drei Jahre und 2018 schlie\u00dflich auf zwei Jahre begrenzt. Seit dem Herbst 2020 werden SSL\/TLS-Zertifikate mit einer G\u00fcltigkeitsdauer von 398 Tagen, also etwa 13 Monaten ausgestellt. In seiner Roadmap hat Google nun sein Vorhaben angek\u00fcndigt, die Laufzeit von SSL-Zertifikaten nochmals reduzieren zu wollen: Von einem Jahr auf 90 Tage.<\/p>\n Verk\u00fcrzte Zertifikatslaufzeiten:<\/strong> Die Idee ist vern\u00fcnftig, wenn auch etwas unhandlich, denn je l\u00e4nger ein Zertifikat g\u00fcltig ist, desto weniger zuverl\u00e4ssig ist es. Ein SSL\/TLS-Zertifikat wird von Browsern genutzt, um die Identit\u00e4t eines Webservers zu \u00fcberpr\u00fcfen. Je l\u00e4nger der Zeitraum zwischen der \u00dcberpr\u00fcfung dieser Informationen ist, desto unzuverl\u00e4ssiger wird diese \u00dcberpr\u00fcfung.<\/p>\n Eine k\u00fcrzere G\u00fcltigkeit von SSL-Zertifikaten ist also durchaus mit Vorteilen f\u00fcr die Sicherheit verbunden, jedoch auch mit Nachteilen in der Administration und Verwaltung von SSL-Zertifikaten. In unserem Blogbeitrag \u201eDie Hintergr\u00fcnde zur verk\u00fcrzten Zertifikatslaufzeit\u201c<\/a> haben wir uns ausf\u00fchrlich mit den Vor- und Nachteilen kurzlebiger Zertifikate auseinandergesetzt.<\/p>\n Zu den wichtigsten Gr\u00fcnden f\u00fcr das Verk\u00fcrzen von Laufzeiten f\u00fcr SSL-Zertifikate geh\u00f6ren:<\/p>\n Im Anschluss an die Treffen des CA\/B-Forums Anfang M\u00e4rz 2023 k\u00fcndigte Google in seiner Roadmap „Moving Forward, Together“<\/a> seine Absicht an, die maximale G\u00fcltigkeitsdauer von Zertifikaten f\u00fcr alle \u00f6ffentlich vertrauensw\u00fcrdigen SSL\/TLS-Zertifikate auf nur 90 Tage zu reduzieren. Es gibt zwar noch kein genaues Datum oder eine Frist f\u00fcr das Inkrafttreten dieser \u00c4nderung, jedoch wird in der Branche davon ausgegangen, dass diese 90-Tage-H\u00f6chstdauer bis Ende 2024 in Kraft tritt.<\/p>\n Google m\u00f6chte seinen Vorschlag \u00fcber „ein zuk\u00fcnftiges Richtlinien-Update oder einen CA\/B Forum Ballot-Vorschlag“ umsetzen. Dies bedeutet: Bei einer Umsetzung im CA\/B Forum \u2013 welches die regulatorischen Anforderungen der Branche festlegt \u2013 wird der Vorschlag gemeinsam mit anderen Branchenteilnehmern (Browsern, Zertifizierungsstellen etc.) abgestimmt und beschlossen. Hierzu hat Google bereits eine Umfrage unter den Zertifizierungsstellen im CA\/B-Forum ver\u00f6ffentlicht und bittet bis Ende M\u00e4rz um R\u00fcckmeldungen zu seinen Pl\u00e4nen. Danach werden wohl die Termine f\u00fcr die Umsetzung aller vorgeschlagenen \u00c4nderungen bekannt geben.<\/p>\n Eine der wichtigsten Begr\u00fcndungen von Google f\u00fcr die weitere Verk\u00fcrzung ist folgende:<\/strong> Durch die Reduzierung der maximalen G\u00fcltigkeitsdauer auf 90 Tage soll der Schritt zur Automatisierung ermutigt werden und „barocke, zeitaufw\u00e4ndige und fehleranf\u00e4llige Ausstellungsverfahren“ der Vergangenheit angeh\u00f6ren.<\/p>\n Google erweckt hier den Eindruck, dass es gro\u00dfartig ist, wenn das CA\/B-Forum beschlie\u00dft, die Branche durch einen Abstimmungsprozess zu ver\u00e4ndern. Allerdings sei der Konzern auch bereit, diese \u00c4nderung einseitig zu erzwingen, indem es sie zu einer Anforderung f\u00fcr das Chrome-Root-Programm macht, was es zu einem De-facto-Standard machen w\u00fcrde, dem jede kommerzielle \u00f6ffentliche Zertifizierungsstelle folgen muss. Da Browser ihre eigenen Root-Programm-Anforderungen kontrollieren, kann diese \u00c4nderung auch ohne ein CA\/B-Forum-Mandat erfolgen.<\/p>\n Zwar soll die finale Umsetzung auf die 90 Tage G\u00fcltigkeitsdauer noch nicht sofort durchgef\u00fchrt werden. Google signalisiert jedoch bewusst seine Absicht, der Industrie und den Verbrauchern von Zertifikaten Zeit zu geben, sich auf den unvermeidlichen \u00dcbergang und die damit verbundenen Auswirkungen vorzubereiten. Organisationen sind deshalb gut beraten, diese Fr\u00fchwarnung zu nutzen. Denn diese weitere drastische Verk\u00fcrzung auf nur noch rund 3 Monate maximale G\u00fcltigkeitsdauer wird f\u00fcr die Branche gro\u00dfe Ver\u00e4nderungen bedeuten.<\/p>\n F\u00fcr IT-Sicherheit-Teams ist die offensichtlichste Auswirkung, wie sie die Verwaltung digitaler Zertifikate mit k\u00fcrzeren Lebensdauern angehen werden.<\/p>\n Die Verwaltung von SSL\/TLS-Zertifikaten war schon immer eine m\u00fchsame Angelegenheit. Alles, was \u00fcber eine Handvoll Zertifikate hinausgeht, erfordert sorgf\u00e4ltige Planung: Durchf\u00fchrung mehrerer Validierungen, Ausstellung der Zertifikate, Installation auf den richtigen Servern, Konfiguration, Sicherstellung, dass an das Ablaufen der Zertifikate erinnert wird: All das ist ein riesiger Aufwand, der bislang einmal im Jahr notwendig ist. Und jetzt stellen Sie sich das Ganze viermal j\u00e4hrlich vor!<\/p>\n Zwar k\u00f6nnen Unternehmen digitale Zertifikate mit einer maximalen Lebensdauer von 90 Tagen technisch immer noch manuell verwalten, allerdings ist die manuelle Erneuerung und Bereitstellung schnell fehleranf\u00e4llig, nicht nachhaltig und kann schwerwiegende Auswirkungen haben.<\/p>\n Bedenken Sie: F\u00fcr fast alle Unternehmen w\u00e4chst die Anzahl der digitalen Zertifikate, die sie verwalten m\u00fcssen, ohnehin schnell, was unweigerlich zu h\u00f6heren Arbeitsaufw\u00e4nden der IT-Teams f\u00fchrt. Das Hinzuf\u00fcgen einer k\u00fcrzeren Lebensdauer digitaler Zertifikate wird dieses Problem nur noch verst\u00e4rken. Bei den meisten Unternehmen geht es nicht um ein Zertifikat, das viermal im Jahr bearbeitet werden muss, sondern um Dutzende oder gar Hunderte digitaler Zertifikate! Der traditionelle Ansatz, die Erneuerung und Bereitstellung jedes Serverzertifikats mehr als viermal pro Jahr manuell durchzuf\u00fchren, wird unglaublich schwierig, wenn nicht gar undurchf\u00fchrbar sein.<\/p>\n Google gibt es in seiner Begr\u00fcndung f\u00fcr die Reduzierung der Laufzeit selbst mit an: Unternehmen kommen nicht umher, die Lebenszyklen digitaler Zertifikate in gro\u00dfem Umfang zu automatisieren. Um Risiken zu reduzieren, ist Automatisierung entscheidend. Es ist nicht nur die Lebensdauer von Zertifikaten, sondern auch die Dauer der Wiederverwendung der Dom\u00e4nenvalidierung.<\/p>\n Jetzt ist es an der Zeit, sich mit Optionen f\u00fcr CA-unabh\u00e4ngiges Certificate Lifecycle Management (CLM) zu befassen. Diese L\u00f6sungen helfen bei der Erkennung digitaler Zertifikate in riesigen Unternehmensumgebungen, unabh\u00e4ngig von der ausstellenden Zertifizierungsstelle, benachrichtigen Sie \u00fcber bevorstehende Ablaufzeiten und stellen automatisch Verl\u00e4ngerungs- und Ersatzzertifikate bereit und installieren diese. Auf diese Weise tragen sie dazu bei, Ausf\u00e4lle und Verst\u00f6\u00dfe aufgrund der falschen Verwendung oder Erneuerung digitaler Zertifikate zu vermeiden.<\/p>\n Der Trend hat sich abgezeichnet: Es bleibt wohl nur noch eine Frage der Zeit, bis die Laufzeit von SSL-Zertifikaten<\/a> auf 90 Tage reduziert wird. Die Hintergr\u00fcnde der Browserhersteller f\u00fcr diese \u00c4nderung, in diesem Fall von Google, sind klar: Durch k\u00fcrzere Intervalle finden h\u00e4ufiger Identifikationspr\u00fcfungen statt. Das soll Missbrauchszahlen reduzieren. Zudem k\u00f6nnen kompromittierte Zertifikate schneller aus dem Verkehr gezogen werden.<\/p>\n Jetzt ist es an der Zeit zu handeln und zu automatisieren! Wir bieten mit unserem PSW ACME Client<\/a> und durch unsere Partnerschaft mit essendi it<\/a> bereits verschiedene Automatisierungsl\u00f6sungen an, die Sie bei der Verwaltung Ihrer SSL-Zertifikate unterst\u00fctzen.<\/p>\nDie wichtigsten Gr\u00fcnde f\u00fcr die Reduzierung der Laufzeit von SSL-Zertifikaten<\/h3>\n
\n
Google k\u00fcndigt Verk\u00fcrzung der G\u00fcltigkeitsdauer von SSL-Zertifikaten an<\/h3>\n
Angemerkt: Will Google eine \u00c4nderung erzwingen?<\/h3>\n
K\u00fcrzere Laufzeit von SSL-Zertifikaten: Die Auswirkungen f\u00fcr die Branche<\/h3>\n
SSL-Zertifikate: Automatisierung wird notwendig<\/h3>\n
Fazit: Weitere Verk\u00fcrzung der Laufzeit von SSL-Zertifikaten ist nur eine Frage der Zeit<\/h2>\n