Gültigkeitsdauer der SSL-Zertifikate: Kürzere ist besser
03.04.2018 | Petra Alm
Dass aufgrund der Entscheidung des CAB Forums seit dem 1.3.2018 nicht mehr möglich ist, ein Zertifikat für mehr als zwei Jahre zu erwerben, hören Sie bestimmt nicht zum ersten Mal. Auch falls die dreijährigen Zertifikate zu Ihren beliebten Produkten zählten, sind sie aber eigentlich nicht zu vermissen. In dem folgenden Artikel erklären wir uns, worin die Vorteile dieser auf den ersten Blick vielleicht unangenehmen Maßnahme bestehen und warum die Regulierung der Laufzeit sogar als angebracht anzusehen ist.
Kürzung der Laufzeit ist nichts Neues
Noch bevor das CAB Forum - eine die Zertifizierungsstellen und Browser verbindende Organisation - im Jahre 2005 gegründet worden ist, wurden die Aussteller was die Gültigkeitsdauer der Zertifikate betrifft an keine Limits gebunden. Noch nach dem Millennium war es somit möglich, auf ein für 10 Jahre ausgestelltes Zertifikat anzustoßen – obwohl „nur“ auf ein von GoDaddy. Erst aufgrund des Beschlusses des CAB Forums aus dem Jahre 2011 hat sich die Gültigkeit auf 60 Monate erniedrigt. Den nach dem 1. 4. 2015 ausgestellten Zertifikaten wurde sogar eine noch strengere Grenze gesetzt – von 39 Monaten.
Im Februar des letzten Jahres hat ein Vorschlag gefolgt, die Gültigkeit der Zertifikate auf 398 Tage einzuschränken. Dieser wurde von den abstimmenden Seiten jedoch nicht angenommen – im März 2017 wurde dagegen der Vorschlag Nr. 193 gebilligt, welcher die Grenze von 825 Tagen festgesetzt hat. Mit dem Jahrestag dieser Abstimmung ist es somit die Zeit gekommen, sich von den dreijährigen Zertifikaten ein für alle Mal zu verabschieden.
Warum die kürzeren Zertifikate von Vorteil sind?
Auf den ersten Blick kann es vorkommen, dass uns die kürzere Laufzeit das Einzige bringen wird – die Pflicht von häufigeren Renews. Auch in diesem Fall gilt es aber, dass jedes Ding zwei Seiten hat. Ganz zu schweigen davon, dass dank der neuen Infrastruktur der CA DigiCert die schon einmal erfolgreich abgeschlossene Verifizierung für zwei Jahre gültig bleibt...
Anpassung an Markt
Gleich wie die ganze Internetwelt entwickelt und ändert sich auch die Welt der Kybersicherheit. Wir können zum Beispiel an das Ende der SHA-1 Zertifikate zurückdenken. Den Entschluss der Zeritifizierungsstellen, zum 1.1.2016 ihre Ausstellung zu beenden, konnten wir nur akzeptieren, aber vielen von uns ist dadurch die Frage enstanden, „wohin“ mit den bereits ausgestellten „Eins“-Zertifikaten. Mit Januar 2017 haben die Browser nämlich begonnen, die auf diesem Algorithmus basierenden Zertifikate als nicht vertrauenswürdig einzustufen.
Vielleicht erinnern Sie sich auch an den Umstieg von 1.024 Schlüsseln an die mit 2.048 Bits, Einschränkung der Unterstützung von internen Namen und IP-Adressen oder an die frische Entscheidung von Chrome, die Kontrolle von dem Common Name aufzuheben.
Und somit kann ein auch weiterhin gültiges, aber von den Browsern nicht mehr anerkanntes Zertifikat wertlos werden… Wenn es in Fällen wie diesen nötig ist, sich den gesteigerten Sicherheitsstandards anzupassen, ist die kürzere Laufzeit logischerweise vorteilhafter, denn sie ermöglicht uns, auf die Änderungen flexibler zu reagieren.
Schlüsselaustausch
Ganz ehrlich, denken Sie daran, dass auch während der Laufzeit des Zertifikats es nicht fehl am Platz sein muss, die Dateien mit einem neuen Schlüsselpaar kostenlos neuausstellen zu lassen? Davon, dass diese Aufgeklärtheit ein nicht zu häufiges Phänomen ist, zeugt auch die Tatsache, dass der ursprüngliche private Schlüssel oft auch für die Erneuerung des Zertifikats selbst genutzt wird. Gerade das Renew stellt aber eine perfekte Angelegenheit für die key rotation, also für den Schlüsselaustausch dar. Je länger ein privater Schlüssel in einer Infrastruktur gespeichert ist, desto größer wird das Risiko seines Missbrauchs. Es wird empfohlen, den privaten Schlüssel mindestens einmal pro Jahr auszutauschen! Die kürzere Laufzeit der Zertifikate kann uns somit als eine willkommene Prävention dienen.
Übung macht den Meister
Vorfälle, bei welchen auch bekannte Webs wegen eines abgelaufenen SSL-Zertifikats nicht mehr erreichbar waren, gab es in der letzten Zeit mehr als genug – wir haben Sie über die Schande bei LinkedIn, Pokemon oder der konservativen Partei von Großbritannien informiert. Vor allem bei großen Unternehmen kann auch ein so wichtiger Schritt wie die Erneuerung eines SSL-Zertifikats in der großen Arbeitsmenge verloren gehen – egal ob wegen der Fluktuation von verantwortlichen Personen oder einfach aus dem Grund, dass wir die Vorgehensweise von Aufgaben, welchen wir uns nicht regelmäßig widmen, vergessen. Unser SSLmarket weist Sie mit einer E-Mail auf das sich nähernde Ablaufdatum des Zertifikats natürlich rechtzeitig hin und ebenfalls werden Sie auf das ausstehende Renew im Detail Ihres Kundenkontos aufmerksam gemacht:
Bei SSLmarket werden Sie auf das Ablaufdatum des Zertifikats per E-Mail und auch in Ihrem Kundenkonto hingewiesen
Die Verlängerung des Zertifikats brauchen Sie dann nur mit einem Klick zu beantragen… Einen automatisierten Prozess bieten wir Ihnen ebenfalls an – mit dem Button Autorenew. Auch trotz dieser Funktionen ist es aber nicht umsonst, sich den Prozess der Verlängerung und Einsetzung der neuen Zertifikatsdateien häufiger als einmal pro drei Jahre in Erinnerung zu bringen.
Bei jeder Bestellung finden Sie einen Button für automatisierte Verlängerung des Zertifikats
Informationen in dem Zertifikat
Während in einem DV-Zertifikat der Domainname angezeigt wird, bei OV- und EV-Zertifikaten findet der Websitebesucher auch den Namen der Firma, für die das Zertifikat ausgestellt worden ist. Stellen Sie sich vor, dass Sie ein dreijähriges Zertifikat erworben haben und nach einem Jahr haben Sie sich entschieden, den Namen Ihres E-Shops oder sogar der ganzen Firma zu ändern. Bei SSLmarket können Sie mit einer 30-Tage-Geldzurückgarantie rechnen, aber die Namensänderung gehört nicht zu eben schnell realisierten Entscheidungen... Ein für eine längere Zeit ausgestelltes Zertifikat kann somit einfach nutzlos werden.
Wir sind Befürwörter der Internetsicherheit und deshalb können wir die Verkürzung der Laufzeit nur begrüßen. Wir hoffen, dass sie auch Ihre Zufriedenheit und Nutzerkomfort steigern wird!
Quellen
Why we need to do more to reduce certificate lifetimes
Why do SSL Certificates Expire?
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de