In den letzten Jahren wurde die Gültigkeitsdauer von SSL/TLS-Zertifikaten drastisch verkürzt. Und der jüngste Vorschlag von Apple kann einen signifikanten Wandel in der Art und Weise bedeuten, wie Zertifikate künftig verwaltet werden. Dieser Trend begann mit dem ersten Vorstoß von Google, die Lebensdauer von Zertifikaten auf 90 Tage zu verkürzen, um die Sicherheit zu erhöhen und das Risiko kompromittierter Zertifikate zu verringern. Letzte Woche sorgte jedoch Apple in der Welt der digitalen Sicherheit für Schlagzeilen. Es legte einen Entwurf für eine Abstimmung vor, wonach die maximale Gültigkeitsdauer für öffentliche SSL/TLS-Zertifikate bis 2027 auf nur noch 45 Tage verkürzen werden soll. Dieser Schritt wurde bei den Treffen des CA/Browser Forums bekannt gegeben und folgt den Bemühungen der Branche, die von den großen Browsern, einschließlich Google, angeführt werden, die Sicherheit im Internet durch eine Verkürzung der Zertifikatslebensdauer zu erhöhen.
Der Vorstoß für 45-Tage-Zertifikate
Derzeit gilt für öffentliche Zertifikate eine maximale Lebensdauer von 398 Tagen. Der Vorschlag von Apple sieht jedoch eine schrittweise Verkürzung dieses Zeitrahmens vor. Meilensteine soll es in den Jahren 2025 und 2026 geben, während schließlich im April 2027 eine maximale Lebensdauer von 45 Tagen erreicht sein soll. Der Vorschlag sieht zudem eine Verkürzung der Wiederverwendungsfrist für die Domänenkontrollprüfung (Domain Control Validation, DCV) vor, die bis September 2027 auf nur noch 10 Tage verkürzt werden soll.
Die Verkürzung der Lebensdauer von Zertifikaten auf 45 Tage wird von Apple als mögliche künftige Best Practice angesehen. Durch eine solche Verkürzung könnte sich das Zeitfenster erheblich verkleinern, in dem die Gefahr einer Kompromittierung besteht. Da sich die Branche in Richtung dieser kürzeren Lebenszyklen bewegt, müssen die Unternehmen ihr Zertifikatsmanagement gut im Blick behalten, um die Wahrscheinlichkeit von Sicherheitsverstößen durch veraltete oder falsch ausgestellte Zertifikate zu verringern.
Die Herausforderung für IT-Teams
Im Rahmen dieses Trends werden auch immer mehr Automatisierungswerkzeuge eingeführt. Diese sind wegen der häufigeren Zertifikatserneuerungen, die aufgrund der kürzeren Gültigkeitsdauer nötig sind, unerlässlich. ACME (Automated Certificate Management Environment) hat sich in diesem Zusammenhang zu einem wichtigen Instrument entwickelt, insbesondere für kleine und mittlere Unternehmen (KMU).
Die Sicherheitsvorteile kürzerer Gültigkeitszeiträume von Zertifikaten sind offensichtlich, aber sie bringen auch erhebliche betriebliche Herausforderungen mit sich. Unternehmen, die sich zur Nachverfolgung und Erneuerung von Zertifikaten auf manuelle Methoden verlassen, können durch die immer häufigeren Erneuerungen überfordert werden. IT-Teams sind immer sehr beschäftigt, daher kann das Jonglieren mit Zertifikaten mit unterschiedlichen Ablaufdaten das Risiko erhöhen, dass abgelaufene Zertifikate Betriebsstörungen verursachen.
Mit ACME können Unternehmen die Ausstellung, Installation und Erneuerung von Zertifikaten automatisieren und so sicherstellen, dass die Zertifikate auch bei einem 45-Tage-Zyklus ohne manuelle Eingriffe aktualisiert werden. Das hat besonders für kleinere Unternehmen Vorteile, die oft weder die Ressourcen noch die Zeit haben, Zertifikate manuell zu verwalten. Denn sie müssen trotzdem die neuesten Sicherheitsstandards einhalten und Ausfälle aufgrund von abgelaufenen Zertifikaten vermeiden.
Die Umstellung auf 45-Tage-Zertifikate bis 2027 wird also insbesondere für kleinere Unternehmen eine Herausforderung darstellen, die sich allerdings durch Automatisierungstools wie ACME bewältigen lässt. Durch die Einführung von ACME und ähnlichen automatisierten Lösungen wie dem Certificate Automation Manager für unsere Enterprise-Kunden sind Unternehmen, die diese Lösungen jetzt implementieren, in Sachen künftiger Internetsicherheit gut gerüstet und können Probleme durch die manuelle Zertifikatsverwaltung vermeiden.
Möchten Sie mehr erfahren? Kontaktieren Sie uns, damit wir gemeinsam die beste Lösung für Sie finden
Unternehmen, die diese Lösungen jetzt implementieren, in Sachen künftiger Internetsicherheit gut gerüstet und können Probleme durch die manuelle Zertifikatsverwaltung vermeiden.
