Die maximale Gültigkeit von für den Identitätsnachweis
im Web benötigten Zertifikaten wird auf ein Jahr verkürzt.
Eine Abstimmung hierzu im CA/Browser
Forum scheiterte im September zwar noch aufgrund des Widerstands
der Zertifizierungsstellen - Apple erklärte jedoch im März,
dass Safari nach dem 1. September 2020 ausgestellte Zertifikate
ausschließlich mit einer maximalen Gültigkeit von einem
Jahr akzeptieren würde.
Nach der Entscheidung von Apple ziehen nun auch Google und Mozilla
nach. Aktuell dürfen Zertifikate noch bis auf etwa 2 Jahre
ausgestellt werden. Nach der erneuten Verkürzung werden Browser,
wie beispielsweise Chrome,
ein ERR_CERT_VALIDITY_TOO_LONG ausgeben, wenn ein nach dem 1. September
2020 ausgestelltes Zertifikat länger als 398 Tage gültig
ist.
Grund für die stetigen Verkürzungen ist das Fehlen eines
allgemeinen Widerrufsmechanismus, welcher die Sperrung von Zertifikaten
erlauben würde. Sperrlisten und das Online
Certificate Status Protocol wurden mittlerweile weitgehend abgeschaltet.
Zwar verwenden Browser-Herstelller noch eigene, interne Sperrlisten,
um auf akute Vorfälle reagieren zu können, jedoch können
hiermit nur besonders bedeutsame Problemfälle abgedeckt werden.
Die Verkürzungen helfen nun dabei, dass Probleme, wie beispielsweise
gestohlene geheime Schlüssel, durch bald nahende Ablaufdaten
automatisch verschwinden.
Der Vorreiter Lets Encrypt stellt Zertifikate ohnehin ausschließlich
auf eine maximale Gültigkeit von 3 Monaten aus und führt
automatische Verlängerungen mit ACME
durch. Andere Zertifizierungsstellen haben sich laut
Mozilla bereit erklärt, ab dem 1. September nur noch Zertifikate
mit der verkürzten Lebensdauer auszustellen.
Webseitenbetreiber müssen nach der Verkürzung keine besonderen
Maßnahmen ergreifen. Zertifikate mit längerer Gültigkeit
können vorerst weiterhin eingesetzt werden, da die neue Regel
nur für Zertifikate gilt, welche ein Ausstellungsdatum nach
dem 1. September 2020 haben.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|