Mehr Sicherheit durch kürzere Laufzeiten

SSL-Zertifikate mit dreijähriger Laufzeit sind am Ende

| Autor / Redakteur: Valentin Rothenberg / Peter Schmitz

Kein E-Commerce-Angebot kommt heute noch ohne SSL-Verschlüselung aus. Abgelaufene Zertifikate bedeuten da schnell verlorene Umsätze.
Kein E-Commerce-Angebot kommt heute noch ohne SSL-Verschlüselung aus. Abgelaufene Zertifikate bedeuten da schnell verlorene Umsätze. (© mbruxelle - Fotolia)

SSL-Zertifikate waren bisher mit Laufzeiten zwischen einem und drei Jahren erhältlich. Ab 1. März 2018 ändert sich diese Auswahloption und die maximale Laufzeit wird auf 825 Tage begrenzt. Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

SSL-Zertifikate sorgen für eine sichere Onlinekommunikation zwischen Browser und Website. Besonders bei der Übertragung von persönlichen Daten über das Internet (wie etwa beim Onlinebanking oder –shopping) sind solche Zertifikate Standard. Wer ein SSL-Zertifikat benötigt, muss dies bei einer Zertifizierungsstelle (englisch: Certificate Authority – kurz CA - wie zum Beispiel Symantec) anfordern. Dort werden die Daten authentifiziert. Nach erfolgreicher Prüfung erhält der Bewerber sein SSL-Zertifikat.

Die Laufzeit von SSL-Zertifikaten konnte bisher individuell und bedarfsgerecht bestellt werden. Ein-, Zwei- und Drei-Jahres-Zertifikate waren möglich. Die letztere Option entfällt zukünftig. Denn das Certification Authority Browser Forum hat am 17. März verkündet, dass neue SSL-Zertifikate ab 1. März 2018 nur noch eine maximale Laufzeit von 825 Tagen (das sind knapp 2,3 Jahre oder annähernd 27 Monate) haben dürfen. Das heißt, spätestens ab diesem Datum werden die CAs keine Zertifikate mit einer Laufzeit von drei Jahren mehr ausstellen.

Welche Folgen hat das Ende der dreijährigen Laufzeit?

Bereits zum heutigen Zeitpunkt sollte von einer Bestellung von Zertifikaten mit einer Laufzeit von drei Jahren Abstand genommen werden. Deswegen haben einige Anbieter (wie zum Beispiel CertCenter) ihr Portfolio bereits dementsprechend angepasst. Andere Anbieter (unter anderem die Certificate Authorities direkt) bieten nach wie vor dreijährige SSL-Zertifikate an.

Die frühzeitige Berücksichtigung soll Laufzeitverlusten vorbeugen. Diese würden entstehen, wenn das Zertifikat neu ausgestellt werden muss. Typische Fälle hierfür sind, wenn das Zertifikat mit einer höheren Verschlüsselungstechnik verfügbar ist oder ein Verlust des Private Keys vorliegt. Eine solche Notwendigkeit ist nie ganz auszuschließen: Das beweist der Heartbleed Bug, der 2014 die Neuausstellung fast aller SSL-Zertifikate mit sich zog.

825 - Warum so eine komische Zahl?

Die Wahl von 825 Tagen mag zunächst willkürlich erscheinen. Sie basiert jedoch auf dem Anrechnungsverfahren von Restlaufzeiten. Bei einer Zertifikatsverlängerung lässt sich die Restlaufzeit des alten Zertifikats von üblicherweise bis zu drei Monaten auf das neue Zertifikat anrechnen. Die Laufzeit eines neuen Zwei-Jahres-Zertifikats beträgt daher maximal 365*2 + 31 + 30 + 31= 822 Tage. Die verbleibenden drei Tage sind Puffer.

Kalendarisch bewegen wir uns an der Schwelle. Mit der Anrechnung einer längeren Restlaufzeit ist bereits heute der Punkt erreicht, an dem bei einer Neuausstellung des Zertifikats Laufzeit verloren gehen würde. Erstmalige Bestellungen von Zertifikaten mit einer Laufzeit von drei Jahren wären zum aktuellen Datum (21. Juni 2017) gerade noch so möglich. Aufgrund der Dauer von manuellen Validierungsverfahren sollten wir der Einfachheit halber aber bereits heute von der Ausstellung von Drei-Jahres-Zertifikaten Abstand nehmen, denn entscheidend ist nicht der Zeitpunkt der Beantragung, sondern der der Zertifikatsausstellung. Dieser Vorgang kann in manchen Fällen bis zu einem Monat dauern.

Ein Beispiel: Ein am 28. Februar 2018 ausgestelltes SSL-Zertifikat mit einer Laufzeit von drei Jahren muss aufgrund eines Fehlers am 1. März 2018 erneut ausgestellt werden. Das neue Zertifikat hätte eigentlich eine Restlaufzeit von 1.094 Tagen. Aufgrund der neuen Regelung wird das Zertifikat - da es nach dem 1. März 2018 (neu-)ausgestellt wurde - nur noch mit einer Restlaufzeit von 825 Tagen herausgegeben. Der Rest der Laufzeit verfällt.

Weitere Laufzeitkürzungen sind zu erwarten

Am 1. März 2015 liefen bereits die SSL-Zertifikate mit einer Laufzeit von vier Jahren aus. Danach belief sich die maximale Laufzeit auf 39 Monate (Drei Jahre plus drei Monate Pufferzeit). Jetzt hat das CAB Forum noch einmal nachgelegt und die Laufzeit für neu ausgestellte SSL-Zertifikate ab März nächsten Jahres auf 2,3 Jahre begrenzt. Die kürzeren Laufzeiten sollen zum einen der Verwendung veralteter Verschlüsselungsstandards entgegenwirken, zum anderen den Zertifizierungsstellen die Möglichkeit geben, noch flexibler auf Sicherheitsanforderungen reagieren zu können.

Valentin Rothenberg arbeitet als IT Service Manager bei ADACOR Hosting.
Valentin Rothenberg arbeitet als IT Service Manager bei ADACOR Hosting. (Bild: Yannik.Farr YF-Photo)

Es ist davon auszugehen, dass das CAB Forum weitere Laufzeitkürzungen beschließen wird. Möglicherweise könnten in naher Zukunft Ein-Jahres-Modelle Usus werden. Bestrebungen seitens Google hierzu bestehen bereits.

Über den Autor: Valentin Rothenberg hat Wirtschaftsinformatik mit Schwerpunkt Projektmanagement und Unternehmens-/Vertragsrecht an der Technischen Universität (TU) Darmstadt studiert. Seit seinem Abschluss bildet der Wirtschaftsinformatiker bei ADACOR Hosting als IT Service Manager das Bindeglied zwischen Sales-Team und technischen Betrieb. In seiner Tätigkeit betreut er insbesondere die Felder Servicestrategie, -design und -transition.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44742719 / Blockchain, Schlüssel und Zertifikate)