Verschlüsselung

Änderung der CA / B Forum Baseline Requirements: Ende der 3-Jahres-SSL-Zertifikate

7. April 2017
  • Verschlüsselung

Das CA / Browser Forum hat jüngst abgestimmt: und neue Sicherheitskriterien für SSL-Zertifikate festgelegt. Die Gültigkeit aller SSL-Zertifikate wird zum 01. März 2018 auf maximal 825 Tage (27 Monate) beschränkt.

GlobalSign aktualisiert SSL-Zertifikatspolitik

Auch GlobalSign stimmte für die Änderungen und hat bereits seine SSL-Zertifikatspolitik aktualisiert. Damit verfolgt die Zertifizierungsstelle das Erfüllen zweier wichtiger Anforderungen:
Schon ab dem 20. April 2017 wird GlobalSign keine 3-Jahres-SSL-Zertifikate mehr ausstellen, um seine Kunden zu schützen. Denn mit dem 01. März 2018 sollen keine GlobalSign-eigenen 3-Jahres-SSL-Zertifikate mehr im Umlauf sein. Um also abgeschnittene Gültigkeitszeiträume zu vermeiden, reagiert die CA bereits jetzt.
Domain- und Organisationsprüfungen dürfen nicht länger als 825 Tage, also 27 Monate, zurückliegen, bevor ein Zertifikat neu ausgegeben wird. Zuvor lag dieser Zeitraum bei 39 Monaten.

Auswirkungen auf Sie als GlobalSign-Kunden

Auswirkungen auf Neubestellungen haben die Neuerungen nicht. Die Änderungen sind dann relevant, wenn Sie Ihr SSL-Zertifikat ausgetauscht, neue SANs hinzufügen oder gelöscht wissen möchten, denn die Domain- und Organisationsinformationen dürfen nicht älter als 27 Monate sein.

Zertifikataustausch: Praktische Beispiele domainvalidierter Zertifikate

Um die folgenden Szenarien zu verhindern, stellt GlobalSign keine domainvalidierten SSL-Zertifikate mit dreijähriger Laufzeit mehr aus. Mit GlobalSign sind auch die Töchter DomainSSL sowie AlphaSSL eingeschlossen.

1. Szenario:
Ein Kunde tauscht sein SSL-Zertifikat mit verbleibender Gültigkeit von über 27 Monaten nach dem 01.03.2018 aus. Unterm Strich würde die Gültigkeit des SSL-Zertifikats nun auf 27 Monate gekürzt werden – eine längere Gültigkeitsdauer ist schlicht nicht zulässig. Um eben diesen Verlust für eigene Kunden zu verhindern, stellt GlobalSign bereits zum 20. April 2017 keine 3-Jahres-Zertifikate mehr aus.

2. Szenario:
Ein Kunde versucht nach dem 20. April 2017, nach 27 Monaten sein 3-Jahres-Zertifikat auszutauschen. Da jedoch die Domainprüfung binnen der letzten 27 Monate stattgefunden haben muss, wird der Austausch-Versuch abgelehnt.

Für Sie bedeutet das:
Jedwede Versuche, domainvalidierte 3-Jahres-Zertifikate auszutauschen, werden nach dem 20. April 2017 abgelehnt werden müssen, weil die Domainprüfung mehr als 27 Monate zurückliegt.

Abkündigung organisationsvalidierter SSL-Zertifikate

Auch wird GlobalSign organisationsvalidierte SSL-Zertifikate mit dreijähriger Laufzeit ablehnen, um das folgende Beispiel verhindern zu können:

3. Szenario:
Ein Zertifikate-Inhaber möchte nach dem 01. März 2018 sein SSL-Zertifikat mit einer noch verbleibenden Gültigkeit von über 27 Monaten austauschen. Auch hier muss die Gültigkeit auf 27 Monate gekürzt werden – dies ist die maximal zulässige Gültigkeitsdauer. Um dieses Thema in 2018 zu vermeiden, stellt GlobalSign ab dem 20. April 2017 bereits keine SSL-Zertikate mit dreijähriger Laufzeit aus.

OV-Zertifikate benötigen noch eine Lösung

GlobalSign hat vorübergehend die Möglichkeit deaktiviert, organisationsvalidierte SSL-Zertifikate (OV-Zertifikate) auszutauschen, um den neuen Anforderungen des CA / B-Forums gerecht zu werden. Wir hoffen, dass GlobalSign im kommenden Monat eine Lösung bereitstellt.

Ihre Fragen beantworten wir wie immer gerne! Nehmen Sie einfach Kontakt mit uns auf.



0 Kommentar(e)

Schreibe einen Kommentar