Apple wird nur den einjährigen Zertifikaten vertrauen

20.03.2020 | Petra Alm

Die schon einmal deklarierte und in die Praxis nicht umgesetzte Beschränkung der Laufzeit von TLS-Zertifikaten wird langsam Wirklichkeit. Als der erste Hersteller hat diesen Schritt Apple gewagt. In seinen Produkten wird er ab dem 1. 9. 2020 den neu ausgestellten und mehr als ein Jahr gültigen Zertifikaten nicht mehr vertrauen. Was bedeutet diese Entscheidung für die ganze Branche?

Was passiert und warum?

Die Idee der Kürzung der maximalen Laufzeit der TLS-Zertifikate taucht regelmäßig auf. Auf dem Feld des CAB Forums, welches als Regulator der ganzen Branche wirkt, wurde über den letzten, von Google stammenden und als Ballot SC22 benannten Vorschlag im August 2019 abgestimmt. Damals wurde er aber nicht angenommen. Die Anhänger der längeren Laufzeit haben sich mit dem Aufwand bei dem häufigeren Zertifikatsaustausch als Hauptargument gewehrt. Die Zertifizierungsstellen haben auch die verdrießliche Meinung ihrer Kunden veröffentlicht, die sie in den Antworten auf ihre Fragebogen über die reale Auswirkung der Änderung erhalten haben.

Nun auf einem weiteren Treffen im Februar in Bratislava hat Apple bekanntgemacht, dass er dem Beschluss nicht folgen und gegen ihn gehen wird. Damit Ihr TLS-Zertifikat für die Apple-Produkte vertrauenswürdig bleibt, können Sie es somit für die zwei Jahre nur bis den 1. September 2020 verlängern. Nach diesem Datum wird Apple nur den TLS-Zertifikaten mit der maximalen Laufzeit 398 Tage vertrauen (1 Jahr und eine Reserve für die Erneuerung).

Die Maßnahme wird mit dem Bestreben die Sicherheit der Nutzer zu erhöhen motiviert. Der Sprecher von Apple hat den Schutz der Nutzer erwähnt... Mit diesem Argument rüsten sich alle Browserhersteller aus, die für die möglichst kürzeste Laufzeit der Zertifikate plädieren.

In der Praxis bleibt es jedoch strittig, ob die erzwungene Kürzung der Laufzeit zur höheren Sicherheit führen wird. Für die positiven Folgen dieser Änderung müssten wir voraussetzen, dass alle Zertifikate nach dem einem Jahr bei der Verlängerung mit einer neuen Zertifikatsanforderung ausgestellt werden und dass auf dem Server der private Schlüssel ausgetauscht wird. Bei voll automatisierten PKI Systemen stellt dies kein Problem dar; es handelt sich schon um einen gängigen Prozess. Schlimmer ist es jedoch bei den manuell verwalteten Servern und Systemen. Hier wird der Schritt die Bereitschaft der Serververwalter die Schlüssel auszutauschen bestimmt nicht erhöhen, eher umgekehrt – er kann zur noch größeren Verstimmung und Apathie führen. Einem gängigen Webinhaber wird die neue Maßnahme auch die Kosten für die Verwaltung erhöhen und für seinen Administrator mehr Arbeit bedeuten.

Was kommt als Nächstes?

Im Hinblick auf die Vergangenheit der Zertifikatskürzung können wir damit rechnen, dass die Laufzeit der TLS-Zertifikate früher oder später auf ein Jahr erniedrigt wird. Browserhersteller werden dieses Ziel auch weiterhin befolgen und die Inhaber von Webs werden in den meisten Fällen die Sicherheit in der Form eines risikolosen Zertifikats für ein Jahr wählen.

Falls Sie die Nutzer der Apple-Produkte mitberücksichtigen und die Vertrauenswürdigkeit der Zertifikate auf ihren Geräten (Mac, iPad, iPhone) konsequent beachten möchten, müssen Sie die Zertifikate ab September weiterhin nur für ein Jahr verlängern. Verlängern werden Sie sie nur 33 Tage vor dem Ablaufdatum können, weil sie ansonsten das erwähnte Limit überschreiten würden.

Falls Sie um die Apple-Nutzer und ihre Geräte nicht fürchten, können Sie die zweijährigen Zertifikate auch nach dem 1. September 2020 nutzen. Fraglich aber bleibt, ob die zweijährigen Zertifikate überhaupt noch angeboten werden. Es ist nämlich zu erwarten, dass die Zertifizierungsstellen bald auf den einjährigen Zyklus übergehen werden, weil der zweijährige irreführend sein könnte.

Inhaber der TLS-Zertifikate für Webs werden das Zertifikat auf dem Server jedes Jahr austauschen müssen. Zu einer weiteren Kürzung wird es hoffentlich nicht kommen. Es ist ratsam, das Zertifikat für die zwei Jahre noch vor dem 1. 9. zu verlängern und somit diese Möglichkeit für das letzte Mal auszunutzen. Auf die Vertrauenswürdigkeit des Zertifikats wird dies keinen Einfluss haben. Verwalter, die die TLS-Zertifikate nicht für ein Web, sondern z. B. für einen Mailserver nutzen, werden mir dieser Änderung grundlos beschränkt. Die Situation bringt aber auch einen bedeutenden Vorteil mit – die Verifizierung muss nicht immer wiederholt werden – siehe weiter.

Die S/MIME-Zertifikate zum Signieren und die Zertifikate für Unterschreibung von Codes betrifft die Kürzung der Laufzeit nicht.

Wie wird sich die Änderung auf die Kunden auswirken?

Die Hauptänderung wird für die Zertifikatsinhaber in dem häufigeren Austausch des verlängerten Zertifikats auf dem Server bestehen. Der diesem Schritt vorangehende Zertifikatserwerb selbst wird aber reibungslos erfolgen. Im Vergleich zu den vorherigen Jahren hat sich der Prozess deutlich vereinfacht und beschleunigt. Während früher die Verifizierung für jedes Zertifikat erneut durchgeführt werden musste, auch wenn Sie schon den zweiten Tag nach der Ausstellung das gleiche Zertifikat beantragten, nutzt heute DigiCert die gespeicherte Verifizierung der Firmen und Domains aus. Diese muss nur im aktuellen Stand gehalten werden und das OV- oder EV-Zertifikat erhalten Sie im Handumdrehen ohne Verzögerungen.

Unseren Kunden möchten wir den Erwerb und die Zertifikatsverwaltung maximal erleichtern. Deshalb bieten wir Ihnen die Autorenew-Funktion an und falls Sie bei der Zertifizierungsstelle die Verifizierung aktiv haben, dann wird Ihr OV/EV-Zertifikat automatisch und augenblicklich ausgestellt. Und Sie müssen es nur auf dem Server austauschen.

Falls Sie ein Zertifikat mit der Domain-Validierung besitzen, welches immer die Verifizierung der Domain (sog. DCV) erfordert, dann brauchen Sie nur diese eine einfache Verifizierung durchzuführen und das Zertifikat kommt Ihnen in wenigen Minuten per E-Mail.

Den Serververwaltern empfehlen wir Automatisierung

Die Änderung wird vor allem die Serveradministratoren berühren, die die Zertifikate einsetzen. Wir werden uns bemühen, ihnen zu helfen. Auch deshalb bieten wir Ihnen in Zusammenarbeit mit DigiCert schon heute die völlig automatisierte Erwerbung und Einsetzung der TLS-Zertifikate an. DigiCert unterstützt das ACME Protokoll, welches Ihnen ermöglicht, viele Clients für verschiedene Serverplattformen auszunutzen. Mit unserer Assistenz brauchen Sie dann nur Ihre Firma und Domains zu verifizieren, wir vorbereiten für Sie den Zugang zu dem ACME Protokoll bei der CA und Sie können mit der völligen Automatisierung des PKI Systems beginnen!

Quellen und weitere Informationen

DigiCert Blog: Position on 1-Year Certificates

Apple support: About upcoming limits on trusted certificates