Aktualisierung am 18. November 2024: Nach weiteren Diskussionen im CA/Browser-Forum und Rückmeldungen aus der Community wurde der Vorschlag von Apple zur Verkürzung der Gültigkeitsdauer von TLS-Zertifikaten geändert. Zunächst wurde die endgültige maximale Gültigkeitsdauer geringfügig von 45 auf 47 Tage erhöht, eine geringfügige Erhöhung, die jedoch darauf hindeutet, dass es wahrscheinlich weitere Diskussionen geben wird, bevor ein fester Zeitrahmen festgelegt wird. Die vorgeschlagenen Termine für die Umsetzung der Verkürzungen wurden ebenfalls geändert, wodurch sich der Zeitpunkt des Inkrafttretens der Verkürzung der Gültigkeitsdauer effektiv nach hinten verschiebt.
Die neuen Termine sind:
- 200 Tage ab dem 15. März 2026,
- 100 Tage ab dem 15. März 2027,
- 47 Tage ab dem 15. März 2028.
In den letzten Jahren wurde die Gültigkeitsdauer von SSL/TLS-Zertifikaten drastisch verkürzt. Und der jüngste Vorschlag von Apple kann einen signifikanten Wandel in der Art und Weise bedeuten, wie Zertifikate künftig verwaltet werden. Dieser Trend begann mit dem ersten Vorstoß von Google, die Lebensdauer von Zertifikaten auf 90 Tage zu verkürzen, um die Sicherheit zu erhöhen und das Risiko kompromittierter Zertifikate zu verringern. Letzte Woche sorgte jedoch Apple in der Welt der digitalen Sicherheit für Schlagzeilen. Es legte einen Entwurf für eine Abstimmung vor, wonach die maximale Gültigkeitsdauer für öffentliche SSL/TLS-Zertifikate bis 2027 auf nur noch 47 Tage verkürzen werden soll. Dieser Schritt wurde bei den Treffen des CA/Browser Forums bekannt gegeben und folgt den Bemühungen der Branche, die von den großen Browsern, einschließlich Google, angeführt werden, die Sicherheit im Internet durch eine Verkürzung der Zertifikatslebensdauer zu erhöhen.
Der Vorstoß für 47-Tage-Zertifikate
Derzeit gilt für öffentliche Zertifikate eine maximale Lebensdauer von 398 Tagen. Der Vorschlag von Apple sieht jedoch eine schrittweise Verkürzung dieses Zeitrahmens vor. Meilensteine soll es in den Jahren 2025 und 2026 geben, während schließlich im April 2027 eine maximale Lebensdauer von 47 Tagen erreicht sein soll. Der Vorschlag sieht zudem eine Verkürzung der Wiederverwendungsfrist für die Domänenkontrollprüfung (Domain Control Validation, DCV) vor, die bis September 2027 auf nur noch 10 Tage verkürzt werden soll.
Die Verkürzung der Lebensdauer von Zertifikaten auf 47 Tage wird von Apple als mögliche künftige Best Practice angesehen. Durch eine solche Verkürzung könnte sich das Zeitfenster erheblich verkleinern, in dem die Gefahr einer Kompromittierung besteht. Da sich die Branche in Richtung dieser kürzeren Lebenszyklen bewegt, müssen die Unternehmen ihr Zertifikatsmanagement gut im Blick behalten, um die Wahrscheinlichkeit von Sicherheitsverstößen durch veraltete oder falsch ausgestellte Zertifikate zu verringern.
Die Herausforderung für IT-Teams
Im Rahmen dieses Trends werden auch immer mehr Automatisierungswerkzeuge eingeführt. Diese sind wegen der häufigeren Zertifikatserneuerungen, die aufgrund der kürzeren Gültigkeitsdauer nötig sind, unerlässlich. ACME (Automated Certificate Management Environment) hat sich in diesem Zusammenhang zu einem wichtigen Instrument entwickelt, insbesondere für kleine und mittlere Unternehmen (KMU).
Die Sicherheitsvorteile kürzerer Gültigkeitszeiträume von Zertifikaten sind offensichtlich, aber sie bringen auch erhebliche betriebliche Herausforderungen mit sich. Unternehmen, die sich zur Nachverfolgung und Erneuerung von Zertifikaten auf manuelle Methoden verlassen, können durch die immer häufigeren Erneuerungen überfordert werden. IT-Teams sind immer sehr beschäftigt, daher kann das Jonglieren mit Zertifikaten mit unterschiedlichen Ablaufdaten das Risiko erhöhen, dass abgelaufene Zertifikate Betriebsstörungen verursachen.
Mit ACME können Unternehmen die Ausstellung, Installation und Erneuerung von Zertifikaten automatisieren und so sicherstellen, dass die Zertifikate auch bei einem 47-Tage-Zyklus ohne manuelle Eingriffe aktualisiert werden. Das hat besonders für kleinere Unternehmen Vorteile, die oft weder die Ressourcen noch die Zeit haben, Zertifikate manuell zu verwalten. Denn sie müssen trotzdem die neuesten Sicherheitsstandards einhalten und Ausfälle aufgrund von abgelaufenen Zertifikaten vermeiden.
Die Umstellung auf 47-Tage-Zertifikate bis 2027 wird also insbesondere für kleinere Unternehmen eine Herausforderung darstellen, die sich allerdings durch Automatisierungstools wie ACME bewältigen lässt. Durch die Einführung von ACME und ähnlichen automatisierten Lösungen wie dem Certificate Automation Manager für unsere Enterprise-Kunden sind Unternehmen, die diese Lösungen jetzt implementieren, in Sachen künftiger Internetsicherheit gut gerüstet und können Probleme durch die manuelle Zertifikatsverwaltung vermeiden.
Möchten Sie mehr erfahren? Kontaktieren Sie uns, damit wir gemeinsam die beste Lösung für Sie finden
Unternehmen, die diese Lösungen jetzt implementieren, in Sachen künftiger Internetsicherheit gut gerüstet und können Probleme durch die manuelle Zertifikatsverwaltung vermeiden.
Anmerkung der Redaktion: Dieser Blog wurde ursprünglich am 16. Oktober 2024 veröffentlicht, wurde aber inzwischen aktualisiert, um Veränderungen in der Branche und neue Erkenntnisse zu berücksichtigen.
