GlobalSign Blog

23 Mai 2017

Gültigkeit von SSL/TLS Zertifikaten auf maximal zwei Jahre beschränkt

Das CA/Browser Forum, ein Branchengremium bestehend aus Zertifizierungsstellen (CAs), Webbrowsern und Betriebssystemen, hat kürzlich in der Wahl 193 entschieden, dass die maximale Gültigkeit von SSL/TLS Zertifikaten auf zwei Jahre (825 Tage, wenn man es genau wissen will) reduziert wird. Bisher war die maximale Gültigkeit für Domain Validated (DV) und Organization Validated (OV) Zertifikate drei Jahre (39 Monate). Extended Validation (EV) Zertifikate waren schon immer auf zwei Jahre (27 Monate) beschränkt.

Die Änderung wird ab 1.März 2018 umgesetzt und betrifft alle CAs und alle Arten von SSL/TLS Zertifikaten. Erfahren Sie hier mehr zu den Hintergründen der neuen Regel, wie Endbenutzer betroffen sind und was GlobalSign deshalb tut.

Warum die Laufzeit von SSL reduzieren?

Das CA/Browser Forum ist verantwortlich für die Bestimmung und Umsetzung von Best Practices und Anforderung für CAs und die ausgestellten Zertifikate. Längere Laufzeiten von Zertifikaten kann die Konformität mit neuen Richtlinien verzögern, weil Änderungen nicht komplett umgesetzt werden, bis alle bestehenden (vor Update ausgestellten) Zertifikate abgelaufen sind.

Indem die maximale Laufzeit von Zertifikaten von drei auf zwei Jahre reduziert wird, werden alte, nicht aktuelle und möglicherweise angreifbare Zertifikate, die vor den neuen Richtlinien ausgestellt wurden, reduziert.

Als zum Beispiel die Abschaffung von SHA-1 zuerst verkündigt wurde, lag die maximale Laufzeit noch bei 5 Jahren (für DV und OV). Das hat zu Verzögerungen bei der Umstellung auf SHA-256 geführt, weil langfristige Zertifikate, die mit SHA-1 ausgestellt wurden, möglicherweise noch für viele Jahre mit einem veralteten Algorithmus weitergenutzt werden konnten. Kürzere Laufzeiten verringern solche Grauzonen, wenn neue Empfehlungen in Kraft treten und verringern die Zeit, die verstreichen muss, bis alle aktiven Zertifikate einer bestimmten Richtlinie entsprechen.

Wie sind System- und Web-Administratoren betroffen?

Zunächst einmal betrifft die neue Regel nur Zertifikate die nach dem 1.März 2018 ausgestellt werden. Die Änderung betrifft keine aktuellen Zertifikate, also keine Angst, Sie müssen Ihre bestehenden Zertifikate mit 3-Jahres-Laufzeit nicht ersetzen. Falls Sie aber 3-Jahres-Zertifikate besitzen und diese weiterhin alle drei Jahre erneuern wollten, machen Sie sich schon jetzt Gedanken, wie Sie diese in Zukunft regelmäßiger erneuern können.

Dies ist der ideale Zeitpunkt Sie auf unser Zertifikatsmanagement und Inventory Tool hinzuweisen, die Ihnen die Administration erleichtern. Die meisten CAs bieten Ihnen ähnliche Dienste, mit denen Sie Zertifikatsaktivitäten zentralisieren können, Zertifikate überwachen können und an Erneuerungen erinnert werden.

GlobalSigns Position und Zeitrahmen

GlobalSign möchte die neue Regel proaktiv umsetzen und wird ab 20. April 2017 keine 3-Jahres-Zertifikate mehr ausstellen. Obwohl die Regel erst ab März 2018 verpflichtend wird, möchten wir die Auswirkungen auf unsere Kunden so minimal wie möglich halten und sie auf die Änderungen so früh wie möglich vorzubereiten.

Wir werden mit Kunden, die bis dahin 3-Jahres-Zertifikate benötigen, direkt zusammenarbeiten und sind uns sicher, dass die frühzeitige Umstellung, Kommunikation und unser tolles GlobalSign Support Team Ihnen die Änderungen erleichtern.

Haben Sie Fragen zur maximalen Laufzeit von zwei Jahren oder zu SSL/TLS Best Practices im Allgemeinen? Hinterlassen Sie uns in den Kommentaren Ihre Meinung oder kontaktieren Sie uns. Wir freuen uns Ihnen helfen zu können!

Artikel teilen

Jetzt Blog abonnieren