:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit durch kürzere Laufzeiten SSL-Zertifikate mit dreijähriger Laufzeit sind am Ende
SSL-Zertifikate waren bisher mit Laufzeiten zwischen einem und drei Jahren erhältlich. Ab 1. März 2018 ändert sich diese Auswahloption und die maximale Laufzeit wird auf 825 Tage begrenzt. Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
SSL-Zertifikate sorgen für eine sichere Onlinekommunikation zwischen Browser und Website. Besonders bei der Übertragung von persönlichen Daten über das Internet (wie etwa beim Onlinebanking oder –shopping) sind solche Zertifikate Standard. Wer ein SSL-Zertifikat benötigt, muss dies bei einer Zertifizierungsstelle (englisch: Certificate Authority – kurz CA - wie zum Beispiel Symantec) anfordern. Dort werden die Daten authentifiziert. Nach erfolgreicher Prüfung erhält der Bewerber sein SSL-Zertifikat.
Die Laufzeit von SSL-Zertifikaten konnte bisher individuell und bedarfsgerecht bestellt werden. Ein-, Zwei- und Drei-Jahres-Zertifikate waren möglich. Die letztere Option entfällt zukünftig. Denn das Certification Authority Browser Forum hat am 17. März verkündet, dass neue SSL-Zertifikate ab 1. März 2018 nur noch eine maximale Laufzeit von 825 Tagen (das sind knapp 2,3 Jahre oder annähernd 27 Monate) haben dürfen. Das heißt, spätestens ab diesem Datum werden die CAs keine Zertifikate mit einer Laufzeit von drei Jahren mehr ausstellen.
Welche Folgen hat das Ende der dreijährigen Laufzeit?
Bereits zum heutigen Zeitpunkt sollte von einer Bestellung von Zertifikaten mit einer Laufzeit von drei Jahren Abstand genommen werden. Deswegen haben einige Anbieter (wie zum Beispiel CertCenter) ihr Portfolio bereits dementsprechend angepasst. Andere Anbieter (unter anderem die Certificate Authorities direkt) bieten nach wie vor dreijährige SSL-Zertifikate an.
Die frühzeitige Berücksichtigung soll Laufzeitverlusten vorbeugen. Diese würden entstehen, wenn das Zertifikat neu ausgestellt werden muss. Typische Fälle hierfür sind, wenn das Zertifikat mit einer höheren Verschlüsselungstechnik verfügbar ist oder ein Verlust des Private Keys vorliegt. Eine solche Notwendigkeit ist nie ganz auszuschließen: Das beweist der Heartbleed Bug, der 2014 die Neuausstellung fast aller SSL-Zertifikate mit sich zog.
825 - Warum so eine komische Zahl?
Die Wahl von 825 Tagen mag zunächst willkürlich erscheinen. Sie basiert jedoch auf dem Anrechnungsverfahren von Restlaufzeiten. Bei einer Zertifikatsverlängerung lässt sich die Restlaufzeit des alten Zertifikats von üblicherweise bis zu drei Monaten auf das neue Zertifikat anrechnen. Die Laufzeit eines neuen Zwei-Jahres-Zertifikats beträgt daher maximal 365*2 + 31 + 30 + 31= 822 Tage. Die verbleibenden drei Tage sind Puffer.
Kalendarisch bewegen wir uns an der Schwelle. Mit der Anrechnung einer längeren Restlaufzeit ist bereits heute der Punkt erreicht, an dem bei einer Neuausstellung des Zertifikats Laufzeit verloren gehen würde. Erstmalige Bestellungen von Zertifikaten mit einer Laufzeit von drei Jahren wären zum aktuellen Datum (21. Juni 2017) gerade noch so möglich. Aufgrund der Dauer von manuellen Validierungsverfahren sollten wir der Einfachheit halber aber bereits heute von der Ausstellung von Drei-Jahres-Zertifikaten Abstand nehmen, denn entscheidend ist nicht der Zeitpunkt der Beantragung, sondern der der Zertifikatsausstellung. Dieser Vorgang kann in manchen Fällen bis zu einem Monat dauern.
Ein Beispiel: Ein am 28. Februar 2018 ausgestelltes SSL-Zertifikat mit einer Laufzeit von drei Jahren muss aufgrund eines Fehlers am 1. März 2018 erneut ausgestellt werden. Das neue Zertifikat hätte eigentlich eine Restlaufzeit von 1.094 Tagen. Aufgrund der neuen Regelung wird das Zertifikat - da es nach dem 1. März 2018 (neu-)ausgestellt wurde - nur noch mit einer Restlaufzeit von 825 Tagen herausgegeben. Der Rest der Laufzeit verfällt.
Weitere Laufzeitkürzungen sind zu erwarten
Am 1. März 2015 liefen bereits die SSL-Zertifikate mit einer Laufzeit von vier Jahren aus. Danach belief sich die maximale Laufzeit auf 39 Monate (Drei Jahre plus drei Monate Pufferzeit). Jetzt hat das CAB Forum noch einmal nachgelegt und die Laufzeit für neu ausgestellte SSL-Zertifikate ab März nächsten Jahres auf 2,3 Jahre begrenzt. Die kürzeren Laufzeiten sollen zum einen der Verwendung veralteter Verschlüsselungsstandards entgegenwirken, zum anderen den Zertifizierungsstellen die Möglichkeit geben, noch flexibler auf Sicherheitsanforderungen reagieren zu können.
Es ist davon auszugehen, dass das CAB Forum weitere Laufzeitkürzungen beschließen wird. Möglicherweise könnten in naher Zukunft Ein-Jahres-Modelle Usus werden. Bestrebungen seitens Google hierzu bestehen bereits.
Über den Autor: Valentin Rothenberg hat Wirtschaftsinformatik mit Schwerpunkt Projektmanagement und Unternehmens-/Vertragsrecht an der Technischen Universität (TU) Darmstadt studiert. Seit seinem Abschluss bildet der Wirtschaftsinformatiker bei ADACOR Hosting als IT Service Manager das Bindeglied zwischen Sales-Team und technischen Betrieb. In seiner Tätigkeit betreut er insbesondere die Felder Servicestrategie, -design und -transition.
(ID:44742719)
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/fe/c4fe11aec27130652ac946d7bd2716da/0106313792.jpeg "X.509 ist ein Standard der ITU-T für digitale Zertifikate in einer Public-Key-Infrastruktur. (Bild: gemeinfrei)")