GlobalSign Blog

24 Jul 2014

Was sich zukünftig ändert: Baseline Requirements im Überblick

Im folgenden Blog wollen wir Sie mit einigen der anstehenden Änderungen in Bezug auf die Baseline Requirements vertraut machen, die auf dem CA/Browser Forum besprochen worden sind. Die Änderungen wirken sich auf praktisch jeden aus, der digitale Zertifikate einsetzt, verwaltet oder verkauft. Das gilt auch für GlobalSign und die notwendig werdenden neuen Richtlinien.

Die wesentlichen Änderungen im Überblick:

Baseline Requirements

Requirement: Ab 1. Februar 2015 wird Google Chrome die grüne Adresszeile, die mit EV SSL-Zertifikaten verbunden ist, nur dann anzeigen, wenn das Zertifikat Certificate Transparency (CT)-konform ist.

Google unterstützt das Open Framework Certificate Transparency (CT), damit Unternehmen möglicherweise falsch ausgestellte Zertifikate erkennen. Das Requirement umfasst die Registrierung von EV SSL-Zertifikaten in öffentlich zugänglichen qualifizierten CT-Protokollen. Unternehmen können diese Protokolle überwachen und ausgestellte Zertifikate auf deren Domains rückverfolgen. Wird festgestellt, dass Zertifikate falsch ausgestellt worden sind, lassen sie sich anschließend leichter korrigieren. Nicht CT-konforme EV-SSL-Zertifikate werden dann ab Februar 2015 in Chrome nicht mehr durch die markante grüne Adresszeile angezeigt.

Beachten Sie bitte: GlobalSign wird 2014 alle öffentlich sichtbaren EV SSL-Zertifikate auf qualifizierten CT-Protokollen registrieren, damit sie in die Google-CT-Whitelist aufgenommen werden. Im Internet nicht sichtbare Zertifikate werden nicht registriert, es sei denn, ein Kunde fordert dies ausdrücklich an. Falls ein EV-Zertifikat nicht in der Whitelist steht, kann es zu diesem Zeitpunkt neu ausgestellt und registriert werden. Ab Januar 2015 werden EV-Zertifikate schon bei der Ausgabe standardmäßig in den CT-Protokollen registriert. Benutzer können sich aber auch aktiv dagegen entscheiden, wenn sie keine CT-konformen Zertifikate möchten (zum  Beispiel bei Zertifikaten, die intern zugängliche Servernamen ausweisen und somit sensibel sind).

Wichtige Termine:

Dezember 2014: GlobalSign wird alle öffentlich zugänglichen EV SSL-Zertifikate auf einem oder mehreren qualifizierten CT-Protokollen registrieren, damit sie in die Whitelist aufgenommen werden.

Dezember 2014: GlobalSign aktualisiert die Bestellseiten und APIs, damit Benutzer sich auch gegen CT entscheiden können. Standardmäßig werden EV SSL-Zertifikate ausgestellt, die CT-konform sind.

Empfehlungen: Bitte achten Sie weiterhin auf alle Updates zu Certificate Transparency.

Requirement: Ab 1. April 2015 sind Zertifikate maximal 39 Monate gültig

Ab dem 1. April 2015 sind die Zertifikatsdaten, die verwendet werden, um die Zertifikatsinformationen zu überprüfen, nur maximal bis zu 39 Monaten gültig (dies gilt für die Ausstellung und Neuausstellung). Bei der Ausstellung eines Zertifikats dürfen die zur Ausstellung verwendeten Daten (Unternehmensüberprüfung und Domain-Kontrolle) nicht älter als 39 Monate sein, ansonsten müssen sie separat validiert werden.

Ab dem 29. März 2015: GlobalSign bietet keine Zertifikate mit einer Laufzeit von 4 oder 5 Jahren mehr an. Die Neuausstellung von Zertifikaten wird auf maximal 39 Monate beschränkt. Dies gilt auch für die Zertifikate, die ausgestellt werden, wenn SANs hinzugefügt oder entfernt werden.

Bitte beachten Sie: Alle Kunden, die heute 4- oder 5-Jahres-Zertifikate erwerben, sind betroffen, wenn sie versuchen, ihr Zertifikat neu auszustellen. Stellt ein Kunde sein Zertifikat nach dem 1. April 2015 neu aus, das eine Gültigkeitsdauer von mehr als 39 Monaten beinhaltet, wird die Gültigkeitsdauer entsprechend gekürzt.

Empfehlung: Um die Probleme zu begrenzen, empfiehlt GlobalSign 1- bis 3-Jahres-Zertifikate zu verkaufen statt 4- und 5-Jahres-Zertifikate zu verwenden.

Das GlobalSign-Bestellsystem macht Nutzer momentan auf die bevorstehenden Änderungen aufmerksam, wenn sie ein 4- oder 5-Jahres-Zertifikat erwerben wollen.

Requirement: Zertifikate, die interne Servernamen verwenden, laufen aus

Am 22. November 2011 skizzierte das CA/Browser Forum die folgende Baseline Anforderung: "Die CA darf kein Zertifikat mit einem Ablaufdatum nach dem 1. November 2015 mit einem SAN oder allgemeinen Feld mit dem Antragstellernamen ausstellen, das eine reservierte IP-Adresse oder einen Internen Servernamen enthält. Mit Wirkung zum 1. Oktober 2016 sind CAs verpflichtet, alle noch nicht abgelaufenen Zertifikate, deren SAN-oder Subject Common Name-Feld eine reservierte IP-Adresse oder einen Internen Servernamen enthält, zu widerrufen.

Wichtige Termine/ Empfehlungen:

26. Oktober 2014: GlobalSign wird die Ausstellung von Zertifikaten mit internen Servernamen nicht mehr erlauben.

31. Oktober 2015: GlobalSign wird Zertifikate mit internen Servernamen nicht neu ausstellen.

Zertifikate, die den SHA-1 Hash-Algorithmus verwenden, laufen aus

Requirement: Ab 1. Januar 2017 wird Microsoft keine SHA-1-Zertifikate mehr unterstützen, die über öffentliche Stammzertifikate ausgestellt wurden. Das gilt für alle SSL-, Code Signing-, Client-Zertifikate sowie CA-Zertifikate (außer Root CA-Zertifikate), die über öffentlich vertrauenswürdige Stammzertifikate ausgestellt worden sind. Während das CA/B Forum noch beschliessen muss, dass SHA-256-Verschlüsselung innerhalb der Baseline Requirements verwendet werden muss, hat GlobalSign sich entschlossen die Entscheidung von Microsoft mitzutragen.

Wichtige Termine:

Januar 2015: Die maximale Gültigkeit von GlobalSign SHA-1 SSL-Zertifikaten wird von 3 Jahren auf 2 Jahre reduziert.

Januar 2016*: GlobalSign bietet keine Zertifikate mit dem SHA-1-Hash-Algorithmus mehr an.

Januar 2017*: GlobalSign wird keine SHA-1 Zertifikate mehr neu ausstellen.

Januar 2017*: Microsoft vertrautk keinen SSL-Zertifikaten mit SHA-1 mehr

*Falls Microsoft den Termin im Januar 2017 ändern sollte, wird GlobalSign die damit verbundenen Termine gegebenenfalls auch überarbeiten.

Bitte beachten: Benutzer werden aufgefordert, SHA-256-Zertifikate einzusetzen und zu überprüfen, ob es Probleme mit ihren Web-Clients oder älteren Systemen gibt. Falls ein SHA-256-Zertifikat Ihre Anforderungen nicht unterstützt, können Sie ein SHA-1-Zertifikat neu ausstellen.

Empfehlungen:

Weitere Informationen zur Migration auf SHA-256 und zur Kompatibilitätsprüfung mit Servern und Anwendungen finden Sie unter: https://support.globalsign.com/customer/portal/articles/1447169

Artikel teilen