Direkt zum Inhalt wechseln
Blogpost in
encryption

Laufzeiten von TLS/SSL-Zertifikaten | Das hat sich geändert

Stoppuhr in einer Hand vor einem rosa Dreick und einem Symbol für SSL-Zertifikate
time to read icon 5 Min

SSL/TLS-Zertifikate sind zukünftig nur mehr ein Jahr lang gültig. Für Website-Betreiber bedeutet die Verkürzung der Laufzeit mehr Aufwand, für Nutzer und CAs mehr Sicherheit. Erfahre mehr über die Hintergründe und was die Browser Safari und Chrome damit zu tun haben.

Published by

Author

Simone Catania

Date

31.03.2023

Ab dem 1. September diesen Jahres können SSL/TLS-Zertifikate maximal für einen Zeitraum von 13 Monaten (397 Tage), also ein Jahr mit maximaler Verlängerung ausgestellt werden. Die Validierung der Zertifikate nimmt einige Zeit in Anspruch, weshalb viele CAs die Registrierung bis Mitte August 2020 angenommen haben. Was auf den ersten Blick aufwändig erscheint, dient der Sicherheit von Website-Besuchern und birgt für die hinter den SSL-Zertifikaten stehenden CAs immense Vorteile.

Warum wird die Laufzeit von SSL/TLS-Zertifikaten verkürzt?

Es gibt zwei wesentliche Vorteile der Verkürzung der Laufzeit von SSL/TLS-Zertifikaten:

1. Ein technischer Vorteil der kürzeren SSL/TLS-Zertifikatslaufzeit ist, dass Updates oder Änderungen schneller organisch eingespielt werden. Als negatives Beispiel dient an dieser Stelle die Änderung des Secure Hash Algorithmus: Der Übergang von SHA1 zu SHA2 dauerte drei Jahre, da wegen der langen Gültigkeit der Zertifikate keine Neuausstellung von Nöten war. Will die CA bzw. der Reseller gültige Zertifikate nicht reihenweise widerrufen und den Kunden zur Neuausstellung zwingen, dauern Updates und Änderungen bis jedes einzelne der betroffenen Zertifikate abgelaufen ist.

2. Ein sicherheitsrelevanter Vorteil der verkürzten Laufzeit von SSL/TLS-Zertifikaten hängt mit den angegebenen und verifizierten Daten hinter dem Zertifikat zusammen: Ist ein Zertifikat nur ein Jahr gültig, wird die Identität hinter dem Zertifikat schon im Folgejahr erneut geprüft, und nicht erst nach zwei oder gar drei Jahren. Kürzere Validierungsintervalle sorgen für mehr Sicherheit im Netz.

Die Wende am SSL/TLS- Markt: Der Trend zur Laufzeitverkürzung

Die zugelassene Gültigkeit von SSL/TLS-Zertifikaten hat sich in den vergangenen Jahren immer wieder geändert. Vor 2015 konnte man sich ein SSL/TLS-Zertifikat für bis zu fünf Jahre ausstellen lassen. Dann folgte die Wende auf dem SSL-Markt: Aus den fünf Jahren wurden 2018 erst drei, später dann zwei Jahre. Im August 2018 schlug Google bereits die Verkürzung der Laufzeit auf ein Jahr vor. Der Vorschlag wurde Ende 2019 aber erst einmal von der Mehrheit des CA/B-Forums (Certification Authority/Browser Forum) abgelehnt.

Mit der Ankündigung von Apple im März diesen Jahres, im eigenen Browser Safari ab dem 1. September 2020 nur noch Zertifikate mit einer maximalen Gültigkeit von 397 Tagen als sicher einzustufen, hat man sich darauf geeinigt, die Gültigkeitsdauer von einem Jahr plus der maximalen Verlängerung zum Standard zu machen.

Ende Juni kündigte Google an, die Änderungen mit dem eigenen Root-Programm abzugleichen. Was sich mit der SSL-Laufzeitverkürzung bei Apple Safari ändert und wie User darauf reagieren, wird sich aber erst in den kommenden Monaten zeigen.

Weiterführend erläutern wir, was die Browser dazu berechtigt, über die Laufzeit von SSL-Zertifikaten zu entscheiden.

Entscheidung auf Seiten der Browser-Betreiber

CAs und Browser sind voneinander abhängig: Browser verwenden die Zertifikate, um die Vertrauenswürdigkeit von Websites einzustufen und um die hergestellten Verbindungen sicherer zu machen. CAs profitieren von der Darstellung der Zertifikate im Browser, da sonst die Besucher von Websites den Sicherheitsgrad nicht einsehen können und dies das Vertrauen von Nutzern mindern kann.

Der mit den Zertifikaten einhergehende Prozess wird über Root-Programme gehandhabt. Die vier wichtigsten sind Microsoft, Apple, Mozilla und Google. Nicht nur im Bereich der Root-Programme sind diese Namen bekannt: Auf Desktop- und Mobilgeräten stehen diese vier Betreiber gleichzeitig auch hinter den meistgenutzten Webbrowsern.

Damit die Zertifikate als vertrauenswürdig eingestuft werden, müssen sich die CAs an die Richtlinien des Root-Programms und damit auch an die des Browser-Betreibers halten. Dafür sorgt das CA/B-Forum, dessen Aufgabe es ist, Änderungen an den Root-Programmen zu erleichtern und einheitliche Richtlinien zu ermöglichen.

Safari hat die SSL-Laufzeitverkürzung vorgegeben

Die Änderung, nur noch Zertifikate mit einer Gültigkeit von einem Jahr als sicher zu kennzeichnen, hatte erstmals Apple für seinen Browser Safari auf dem diesjährigen CA/B-Forum angekündigt. In diesem Fall hat das Root-Programm Apple, das mit Safari als Browser am CA/B-Forum teilnimmt, eine Änderung vorgenommen, die als Grundanforderung für alle Root-Programme wurde. Der Grund für die Annahme der Änderung durch das gesamte CA/B-Forum ist die erforderliche Interoperabilität von Root-Programmen und Browsern.

Was bedeutet die Laufzeitverkürzung für Website-Betreiber?

Für Betreiber von Websites, die ihre SSL-Zertifikate vor dem 1. September 2020 erstanden haben oder noch erwerben wollen, ändert sich nichts. Das Zertifikat bleibt bis zum Ablaufdatum gültig. Einzig eine Verlängerung um weitere zwei Jahre wird nicht mehr möglich sein. Die zweijährigen Zertifikate behalten also ihre Gültigkeit, werden aber nach dem 1. September 2020 nicht mehr ausgestellt.

Zukünftig allerdings, wenn SSL/TLS-Zertifikate nur noch mit der Lebensdauer von einem Jahr ausgestellt werden, sind Website-Betreiber dazu gezwungen, höhere Kosten und mehr Zeit in die korrekte Einbindung der SSL/TLS-Zertifikate zu stecken.

Doch dafür wird der Datenverkehr im Netz sicherer, die Vertrauenswürdigkeit der User in SSL-gesicherte Seiten steigt und der Traffic nimmt zu – eine Rechnung, die auch für Website-Betreiber aufgeht. Finde jetzt die richtigen SSL/TLS-Zertifikate für deine Projekte.

Zu AutoDNS icon-arrow--right