Bevorstehende Änderungen der Baseline Requirements

Maximale Zertifikatsgültigkeit von 39 Monaten: April 2015

Requirement: Ab den 1. April 2015 werden Zertifikate auf eine maximale Gültigkeitsdauer von 39 Monaten beschränkt.

Wichtige bevorstehende Termine:

  • 30. März 2015: GlobalSign bietet keine Zertifikate mit einer Laufzeit von 4 oder 5 Jahren mehr an und beschränkt die maximale Laufzeit von Zertifikaten auf 39 Monate, wie vom CAB Forum in den Baseline Requirements vorgegeben.

  • 30.März: Wiederausstellung von Zertifikaten wird auch auf maximal 39 Monate beschränkt. Dies gilt auch für Zertifikate, die ausgestellt werden, wenn SANs hinzugefügt oder entfernt werden.

Bitte beachten Sie:

Alle Kunden, die heute 4- oder 5-Jahres-Zertifikate erwerben, sind betroffen, wenn sie versuchen, ihr Zertifikat neu auszustellen. Wenn ein Kunde ein Zertifikat nach April 2015 neuausstellt, das eine Gültigkeitsdauer von mehr als 39 Monaten beinhaltet, wird diese Gültigkeitsdauer gekürzt, da Zertifikate nur für 39 Monate wiederausgestellt werden können.

Empfehlungen:

GlobalSigns Bestellsystem warnt Benutzer momentan vor diesen bevorstehenden Änderungen, wenn sie ein 4- oder 5-Jahres-Zertifikat kaufen wollen

GlobalSign empfiehlt dringend keine 4- oder 5-Jahres Zertifikate mehr auszustellen. Wenn Sie ein GlobalSign Partner sind, empfehlen wir Ihnen 1 bis 3 Jahres Zertifikate zu verkaufen und Kunden von 4- oder 5-Jahres Zertifikaten abzuraten, um damit Kundenzufriedenheit sicherzustellen und zu vermeiden, dass Kunden Zertifikate mit einer kürzeren Laufzeit als bisher erhalten.

Maximal 39 Monate Folgenutzung von Überprüfungsinformationen: April 2015

Requirement: Ab dem 1. April 2015 sind die Zertifikatsdaten, die verwendet werden, um die Zertifikatsinformationen zu überprüfen, nur bis zu 39 Monate gültig (dies gilt für die Ausstellung und Neuausstellung). Bei der Ausstellung eines Zertifikats dürfen die für die Ausstellung (Unternehmensüberprüfung und Domain-Kontrolle) verwendeten Daten nicht älter als 39 Monate sein. Wenn die Daten älter als 39 Monate sind, müssen die Daten vor der Ausstellung eines neuen Zertifikats neu validiert werden.

Wichtige bevorstehende Termine:

  • 30. März 2015: März 2015: GlobalSign begrenzt die Neuausstellung von Zertifikaten auf die ersten 39 Monate in Übereinstimmung mit den Baseline Requirements.

Bitte beachten Sie:

Alle Kunden, die heute 4- oder 5-Jahres-Zertifikate erwerben sind betroffen, wenn sie versuchen, ein Zertifikat neu auszustellen. Wenn ein Kunde ab April 2015 ein Zertifikat mit einer Laufzeit von mehr als 39 Monaten wiederausstellt, wird die Laufzeit gekürzt, da Zertifikate nur für 39 Monate wiederausgestellt werden können. GlobalSign setzt seine Kunden während des Bestellprozesses darüber in Kenntnis, dass eine Neuausstellung nur während der ersten 39 Monate der Zertifikatslaufzeit unterstützt wird.

Empfehlungen:

Raten Sie von der Verwendung von 4- und 5-Jahres-Zertifikaten ab. Wenn Sie ein GlobalSign Partner sind, empfehlen wir Ihnen 1 bis 3 Jahres Zertifikate zu verkaufen und Kunden von 4- oder 5-Jahres Zertifikaten abzuraten, um damit Kundenzufriedenheit sicherzustellen und zu vermeiden, dass Kunden Zertifikate mit einer kürzeren Laufzeit als bisher erhalten.

Auslauf von internen Servernamen: Nov. 2015

Requirement: Am 22. November 2011 skizzierte das CA/Browser Forum die folgende Baseline Requirement: "Die CA darf kein Zertifikat mit einem Ablaufdatum nach dem 1. November 2015 mit einem SAN oder allgemeinen Antragstellernamen-Feld ausstellen, das eine reservierte IP-Adresse oder einen Internen Servernamen enthält. Mit Wirkung zum 1. Oktober 2016 sind CAs verpflichtet, alle noch nicht abgelaufenen Zertifikate, deren SAN-oder Subject Common Name-Feld eine reservierte IP-Adresse oder einen Internen Servernamen enthält, zu widerrufen.

Wichtige bevorstehende Termine:

  • 26. Oktober 2015: GlobalSign wird die Ausstellung von Zertifikaten mit internen Servernamen unter CN oder SAN einstellen.

  • 1. Oktober 2016: Zertifizierungsstellen werden alle noch gültigen Zertifikate, die reservierte IP-Adressen oder interne Namen für subjectAlternativeName Extensions oder für das Subject Common Name Feld haben, widerrufen.

Empfehlungen:

Für weitere Details zu dieser Baseline Requirement besuchen Sie bitte:https://support.globalsign.com/customer/portal/articles/1467819

Auslaufen von SHA-1: Januar 2017

Requirement: Ab 1. Januar 2017 wird Microsoft keinen SHA-1-Zertifikaten mehr vertrauen, die über öffentliche Stammzertifikate ausgestellt wurden. Dies gilt für alle SSL-, Code Signing-, Client-Zertifikate und CA-Zertifikate (außer Root CA-Zertifikate), die über öffentlich vertrauenswürdige Stammzertifikate ausgestellt wurden. Während das CA/B Forum noch bestimmen muss, dass SHA-256-Verschlüsselung in seinen Baseline Requirements verwendet werden muss, hat GlobalSign beschlossen, die Branchenentscheidung unter der Leitung von Microsoft zu unterstützen. Das CA/B Forum diskutiert aktiv über neue Baseline Requirements, die im Einklang mit Microsoft und Google Richtlinien sind, und SHA-1 SSL Zertifikate ab 31.Dezember 2016 verbieten werden. Der geplante Termin für die Umstellung ist der 16.Januar 2015. GlobalSign wird weiterhin an Branchen-Tagungen teilnehmen und Änderungen weiterleiten, sobald diese verkündet werden, damit unsere Kunden auf dem aktuellen Stand sind.

  • 17. November 2014: Die maximale Gültigkeit von GlobalSign SHA-1 SSL-Zertifikaten wird von 3 Jahren auf 1 Jahr geändert.

  • 19. Januar 2015*: GlobalSign bietet keine SHA-1-Zertifikate mehr an und stellt auch keine mehr wieder aus.

  • Januar 2017*: Microsoft, Google und Mozilla stufen SHA-1 Zertifikate und Zertifizierungsstellen die SHA-1 anbieten als nicht vertrauenswürdig ein (Ausnahme: Root-Zertifikate)

*Falls Microsoft den Termin Januar 2017 ändern sollte, wird GlobalSign seine damit verbundenen Termine evtl. überarbeiten.

Anstehende Änderungen von Google und Mozilla

Google's Zeitplan

Der Google Chrome/Chromium Browser wird unterschiedliche Meldungen anzeigen, je nach Art und Ablaufdatums des SSL Zertifikats. Bitte beachten Sie, dass SHA-1 SSL Zertifikate, die länger als 01.01.2016 gültig sind, im Chromium 41 Browser als nicht vertrauenswürdig angezeigt werden. Wir rechnen damit, dass der Chrome 41 Browser ab 10.Februar 2015 erhältlich ist.

Für mehr Informationen lesen Sie den GlobalSign Blog:Google will vor Seiten warnen, die SHA-1 verwenden“.

Mozilla’s Zeitplan

Mozilla’s Zeitplan ist ebenfalls hauptsächlich vom Ablaufdatum des Zertifikats abhängig und ist dem Zeitplan von Microsoft ähnlich. Bitte beachten Sie, dass Firefox ab dem 1.Januar 2017 keine SHA-1 Zertifikaten mehr als vertrauenswürdig einstuft.

  • SHA-1 Zertifikat, das nach dem 1.Januar 2017 abläuft: In Firefox wird eine Warnung angezeigt

  • SHA-1 Zertifikat, das nach dem 1.Januar 2016 ausgegeben wurde: In Firefox wird folgende Warnung angezeigt: „Ungesicherte Verbindung“

Für mehr Informationen lesen Sie den GlobalSign Blog:Mozilla warnt ebenfalls vor SHA-1

Bitte beachten Sie:

Benutzer werden aufgefordert, sich SHA-256-Zertifikate zu besorgen und zu überprüfen, dass es keine Probleme mit ihren Web-Clients oder älteren Systemen gibt. Falls ein SHA-256-Zertifikat Ihre Bedürfnisse nicht unterstützt, können Sie ein SHA-1-Zertifikat neuausstellen.

Empfehlungen:

Für weitere Informationen zur Migration auf SHA-256 und um die Kompatibilität mit Ihren Servern und Anwendungen zu überprüfen, schauen Sie bitte nach unter {+}https://support.globalsign.com/customer/portal/articles/1447169+

Certificate Transparency (RFC 6962)

Requirement: Ab 1. Februar 2015 wird Google Chrome die grüne Adresszeile, die mit EV SSL-Zertifikaten verbunden ist, nicht anzeigen, wenn das Zertifikat nicht Certificate Transparency (CT)-konform ist.

Certificate Transparency (CT) wird von Google gefördert, um Anwender im Unternehmen dabei zu helfen, mögliche Falschausstellungen von Zertifikaten zu erkennen. Die Requirement beinhaltet die Registrierung von EV SSL-Zertifikaten in öffentlich zugänglichen qualifizierten CT-Protokollen. Diese Protokolle können von Unternehmen überwacht werden, und sie können die Ausstellung von Zertifikaten auf ihre Domains rückverfolgen und dann Korrekturmaßnahmen ergreifen, wenn eine Falschausstellung festgestellt wurde. Wenn EV-SSL-Zertifikate nicht CT-konform sind, dann zeigt Chrome ab Februar 2015 nicht die markante grüne Adresszeile an.

GlobalSign wird 2014 alle öffentlich sichtbaren EV SSL-Zertifikate auf qualifizierten CT-Protokollen registrieren, damit sie in die Google-CT-Whitelist aufgenommen werden. Die Zertifikate, die nicht im Internet sichtbar sind, werden nicht registriert, solange dies nicht von einem Kunden gefordert wird. Falls ein EV-Zertifikate nicht in der Whitelist steht, kann es zu diesem Zeitpunkt neuausgestellt und registriert werden. Ab Januar 2015 werden EV-Zertifikate bei der Ausgabe standardmäßig in den CT-Protokollen registriert. Aber Benutzer können sich dagegen entscheiden, wenn sie keine CT-konformen Zertifikate möchten (intern verwendete Zertifikate, die intern zugängliche Servernamen ausweisen könnten, die sie als sensibel ansehen). Die Bestellseiten und APIs von GlobalSign werden aktualisiert, damit sich Benutzer bei der Bestellung von EV-Zertifikaten gegen CT entscheiden können.

Wichtige bevorstehende Termine:

  • 1. – 31. Dezember 2014: GlobalSign wird alle öffentlich einzusehenden EV Zertifikate auf einem oder mehreren CT-Protokollen registrieren, damit sie in die Google Whitelist aufgenommen werden können.

  • 15. Dezember 2014: GlobalSign beginnt damit EV Zertifikate nach den Regeln des Google Projekts zu Certificate Transparency auszustellen, damit EV-Zertifikate weiterhin die grüne Browser-Adress-Zeile erhalten.

Empfehlungen: Bitte achten Sie weiterhin auf Updates zu Certificate Transparency.