Entwickler des Chromium-Projekts eine Änderung vorgenommen, wodurch die maximale Lebensdauer von TLS-Zertifikaten auf 398 Tage (13 Monate) festgelegt wird.

Die Bedingung gilt für alle öffentlichen Serverzertifikate, die nach dem 1. September 2020 ausgestellt wurden. Wenn das Zertifikat dieser Regel nicht entspricht, lehnt der Browser es als ungültig ab und antwortet mit einem Fehler ERR_CERT_VALIDITY_TOO_LONG.

Für Zertifikate, die vor dem 1. September 2020 eingegangen sind, bleibt das Vertrauen erhalten und begrenzt auf 825 Tage (2,2 Jahre), wie heute.

Zuvor hatten die Entwickler der Browser Firefox und Safari eine Begrenzung der maximalen Lebensdauer von Zertifikaten eingeführt. Ändern Sie auch tritt am 1. September in Kraft.

Dies bedeutet, dass Websites, die langlebige SSL/TLS-Zertifikate verwenden, die nach dem Stichtag ausgestellt wurden, Datenschutzfehler in Browsern verursachen.

Apple war das erste Unternehmen, das die neue Richtlinie bei einem CA/Browser-Forumstreffen bekannt gab im Februar 2020Bei der Umsetzung der neuen Regel versprach Apple, diese auf alle iOS-Geräte anzuwenden. macOSDies wird Druck auf Website-Administratoren und Entwickler ausüben, sicherzustellen, dass ihre Zertifikate den Anforderungen entsprechen.

Die Verkürzung der Lebensdauer von Zertifikaten wird seit mehreren Monaten von Apple, Google und anderen CA/Browser-Teilnehmern diskutiert. Diese Politik hat ihre Vor- und Nachteile.

Ziel dieser Maßnahme ist es, die Website-Sicherheit zu verbessern, indem sichergestellt wird, dass Entwickler Zertifikate mit den neuesten kryptografischen Standards verwenden, und die Anzahl alter, vergessener Zertifikate zu reduzieren, die möglicherweise gestohlen und für Phishing- und Drive-by-Malware-Angriffe wiederverwendet werden könnten. Wenn es Angreifern gelingt, die Kryptografie des SSL/TLS-Standards zu knacken, werden kurzlebige Zertifikate dafür sorgen, dass die Menschen in etwa einem Jahr auf sicherere Zertifikate umsteigen.

Die Verkürzung der Gültigkeitsdauer von Zertifikaten bringt einige Nachteile mit sich. Es wurde festgestellt, dass Apple und andere Unternehmen durch die Erhöhung der Häufigkeit des Zertifikatsaustauschs auch das Leben von Websitebesitzern und Unternehmen, die Zertifikate und Compliance verwalten müssen, ein wenig schwieriger machen.

Andererseits ermutigen Let’s Encrypt und andere Zertifizierungsstellen Webmaster, automatisierte Verfahren zur Erneuerung von Zertifikaten zu implementieren. Dadurch wird der Personalaufwand verringert und das Fehlerrisiko bei zunehmender Häufigkeit des Zertifikatsaustauschs gesenkt.

Wie Sie wissen, stellt Let’s Encrypt kostenlose HTTPS-Zertifikate aus, die nach 90 Tagen ablaufen, und bietet Tools zur automatischen Erneuerung. Dadurch fügen sich diese Zertifikate jetzt noch besser in die Gesamtinfrastruktur ein, da die Browser eine maximale Gültigkeitsgrenze festlegen.

Diese Änderung wurde von den Mitgliedern des CA/Browser-Forums zur Abstimmung gestellt, aber die Entscheidung wurde aufgrund von Uneinigkeit der Zertifizierungsstellen nicht genehmigt.

Ergebnisse

Abstimmung des Zertifikatsausstellers

Dafür (11 Stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Gegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)
Enthalten (2): HARICA, TurkTrust