Ab dem 1. September dieses Jahres können SSL/TLS-Zertifikate maximal für einen Zeitraum von 13 Monaten (397 Tage) ausgestellt werden. Diese Änderung hatte erstmals Apple auf der CA/Browser Forum Spring Face-to-Face Veranstaltung im März in Bratislava angekündigt. Ende Juni kündigte dann Google auf der virtuellen Sommer-Veranstaltung des CA/Browser Forums an, die Änderungen mit dem eigenen Root-Programm abzugleichen.
Es läuft weiterhin eine von Browsern betriebene Abstimmung, mit der versucht werden soll, die Baseline Requirements der Branche an die Änderungen des Root-Programms anzupassen. Dieses Thema wird derzeit im Forum diskutiert.
Warum die verkürzte Lebensdauer von SSL/TLS-Zertifikaten?
Von einem theoretischen Standpunkt aus betrachtet, gibt es zwei wesentliche Vorteile von kurzlebigeren Zertifikaten:
Da ist zunächst die technische Komponente – eine längere Lebensdauer bedeutet gleichzeitig, dass es länger dauert Updates oder Änderungen organisch einzuspielen. Ein Beispiel aus der Praxis ist der Übergang von SHA1 zu SHA2. Wenn man nicht eine ganze Reihe von Zertifikaten widerrufen und den Kunden zur Neuausstellung zwingen will, kann es Jahre dauern, bis sämtliche alten Zertifikate ersetzt werden. Im Fall von SHA1 hat es drei Jahre gedauert. Ein Prozess der Risiken mit sich bringt.
Der andere Vorteil einer kürzeren Lebensdauer hat mit Identität zu tun – wie lange sollten die zur Validierung einer Identität verwendeten Informationen vertrauenswürdig bleiben? Je ausgedehnter die Validierungsintervalle sind, desto größer ist das Risiko. Laut Google würde eine ideale Domain-Validierung etwa alle sechs Stunden erfolgen.
Vor 2015 konnte man ein SSL/TLS-Zertifikat für bis zu fünf Jahre ausstellen. Daraus wurden 2018 erst drei, dann zwei Jahre. Ende 2019 schlug das CA/Browser Forum eine Abstimmung vor, um den Zeitraum auf ein Jahr zu verkürzen – der Vorschlag wurde jedoch von den Zertifizierungsstellen entschieden abgelehnt.
Warum ist die Lebensdauer von Zertifikaten auf ein Jahr reduziert worden?
Das CA/Browser-Forum ist ein Branchenzusammenschluss. Deren Mitglieder treffen sich, um über eine Reihe von Baseline Requirements für die Ausstellung vertrauenswürdiger digitaler Zertifikate abzustimmen. Allerdings handelt es sich dabei nicht um ein Leitgremium. Auch wenn die Zertifizierungsstellen Vorbehalte geäußert haben, die maximale Gültigkeit erneut zu verringern, sind Apple und Google durchaus berechtigt, die Richtlinien für ihre Root-Programme nach eigenem Ermessen zu aktualisieren.
Wenn man einen Schritt zurückdenkt, sind Zertifizierungsstellen und Browser grundsätzlich voneinander abhängig. Browser müssen Zertifikate verwenden, um Vertrauensentscheidungen über Websites zu treffen und um bei der Sicherung von Verbindungen zu helfen. Was nützt ein öffentliches Zertifikat auf CA-Seite, wenn es von einem Browser nicht als vertrauenswürdig eingestuft wird?
Der gesamte Prozess wird über die Root-Programme gehandhabt. Es gibt vier wichtige Root-Programme:
- Microsoft
- Apple
- Mozilla
Übrigens stehen diese vier auch auf Desktop- und Mobilgeräten hinter den wichtigsten Browsern. Damit die Zertifikate einer Zertifizierungsstelle von den Root-Programmen und damit auch von den Browsern und Betriebssystemen, die sie verwenden, als vertrauenswürdig eingestuft werden, muss sie sich an die Richtlinien dieses Root-Programms halten. Das CA/B-Forum ist ein Branchenforum, das im Idealfall dazu beiträgt, Änderungen an den Root-Programmen zu erleichtern.
Die Root-Programme, die als Browser teilnehmen, können jedoch weiterhin einseitig agieren und Änderungen auch nach eigenem Ermessen vornehmen. Wenn das geschieht, werden die Richtlinien desjenigen Root-Programms mit den strengsten Normen zur neuen tatsächlichen Baseline-Requirement. Das liegt in der Notwendigkeit zur Interoperabilität begründet.