Die Schattenseiten von 90-Tage-Zertifikaten

Spätestens seit der Ankündigung von Google die Laufzeit von SSL-Zertifikaten weiter reduzieren zu wollen, sind 90-Tage-Zertifikate in aller Munde und ein heiß diskutiertes Thema in der SSL-Welt. Zweifellos bringt eine kürzere Laufzeit von digitalen Zertifikaten Vorteile mit sich – doch über die Nachteile wird kaum berichtet. Im heutigen Blogbeitrag klären wir über jene Nachteile auf und beleuchten die Schattenseite von 90-Tage-Zertifikaten.

Hintergründe zusammengefasst: Immer kürzere Zertifikatslaufzeiten

Und täglich grüßt das Murmeltier: Die Laufzeiten von SSL-Zertifikaten werden seit Jahren kontinuierlich reduziert. Das bis dato letzte große Ausrufezeichen, dass für reichlich Diskussion in der Branche gesorgt hat, war der Verstoß von Google im März 2023 für alle öffentlich vertrauenswürdigen SSL-Zertifikate auf nur 90 Tage zu reduzieren zu wollen.

Zum Vergleich: Seit dem Herbst 2020 werden SSL-Zertifikate mit einer maximalen Gültigkeitsdauer von 13 Monaten ausgestellt. Der Vorstoß von Google hat die Debatte über eine weitere Reduzierung der Laufzeit von SSL-Zertifikaten auf 90 Tage wieder entfacht. Google möchte seinen Vorschlag über „ein zukünftiges Richtlinien-Update oder einen CA/B Forum Ballot-Vorschlag“ umsetzen. Dies bedeutet: Bei einer Umsetzung im CA/B Forum – welches die regulatorischen Anforderungen der Branche festlegt – wird der Vorschlag gemeinsam mit anderen Branchenteilnehmern (Browser- und Betriebssystemherstellern, Zertifizierungsstellen etc.) abgestimmt und beschlossen. Allerdings sei der Konzern auch bereit, diese Änderung einseitig zu erzwingen, indem es sie zu einer Anforderung für das Chrome-Root-Programm macht, was es zu einem De-facto-Standard machen würde, dem jede kommerzielle öffentliche Zertifizierungsstelle folgen muss, um weiterhin im Chrome als vertrauenswürdig dargestellt zu werden.

In unserem Blogbeitrag „SSL-Zertifikate: Gültigkeitsdauer soll auf 90 Tage reduziert werden.“ Haben wir das Thema bereits ausführlich beleuchtet und die Hintergründe zum Vorstoß erklärt.

90-Tage-Zertifikate: Welche Gründe sprechen dafür?

Als Betreiber von Chrome, dem am mit weitem Abstand führenden Browser (Marktanteil von 60% weltweit), besitzt Google zweifellos die Macht, kürzere Laufzeiten von SSL-Zertifikaten notfalls alleine durchzusetzen.

Als wichtigen Grund für die Verkürzung und damit auch großen Vorteil führt Google an, dass aufgrund der kürzeren Laufzeiten auch die Sicherheit deutlich steigt, da die Intervalle, in denen digitale Zertifikate im Umlauf sind, immer kürzer werden. Diese Verkürzung reduzieren das Risiko von Sicherheitsverletzungen und erhöhen die Häufigkeit der Schlüsselrotation sowie das Widerrufsmanagement. Die verkürzte Lebensdauer von Zertifikaten soll Bedrohungsakteuren kleinere Zeitfenster bieten, um gestohlene oder kompromittierte Zertifikate auszunutzen.

Zudem soll die Reduzierung der maximalen Gültigkeitsdauer auf 90 laut Google dazu führen, dass zur Automatisierung ermutigt wird.

Die Schattenseiten von 90-Tage-Zertifikaten beleuchtet

Einer der größten Nachteile, die 90-Tage-Zertifikate mit sich bringen, ist die Tatsache, dass aufgrund der immer kürzeren Laufzeiten häufigere Erneuerungen notwendig werden. Dies erhöht nicht nur die Fehleranfälligkeit, wenn Zertifikate nicht rechtzeitig erneuert und schlicht vergessen werden, sondern sorgt auch dafür, dass IT Mitarbeiter vor zusätzlichen Belastungen stehen.

Das Volumen der Zertifikate wird in Zukunft aufgrund der kürzeren Laufzeit massiv ansteigen, sodass die Herausforderung der Verwaltung und Erneuerung weiter verschärft wird. Google betont besonders, dass der Weg in Richtung Automatisierung mit dieser Maßnahme weiter vorangetrieben werden soll. Entsprechende Automatisierungslösungen sind jedoch nicht für jedermann geeignet oder erschwinglich.

Zusammenfassend sind besonders folgende Herausforderungen bei 90-Tage-Zertifikaten zu berücksichtigen:

• Zunehmende Belastung für Sicherheitsteams: Die häufigere Erneuerung von Zertifikaten erfordert zusätzliche Arbeit Dies kann zu einer Überlastung führen und die Effizienz beeinträchtigen.

• Risiko größerer Ausfälle: Die Notwendigkeit, Zertifikate alle 90 Tage zu erneuern, erhöht das Risiko, dass Unternehmen Zertifikate nicht rechtzeitig erneuern. Dies könnte zu größeren Ausfällen von Diensten und Anwendungen führen, wenn Zertifikate ablaufen und nicht rechtzeitig aktualisiert werden.

• Komplexität der Verwaltung: Mit dem steigenden Volumen von Zertifikaten und der Notwendigkeit häufigerer Erneuerungen wird die Verwaltung zunehmend komplexer. Dies kann zu Fehlern bei der Verwaltung und Erneuerung von Zertifikaten führen.

• Höhere Anforderungen an Automatisierung: Die Notwendigkeit einer umfassenden Automatisierung für das Management von Zertifikaten wird verstärkt. Unternehmen müssen in leistungsfähige Automatisierungstools investieren, um den neuen Anforderungen gerecht zu werden, was zusätzliche Kosten und Ressourcen erfordert.

Automatisierung als must have

Die weitere Verkürzung der Laufzeit von SSL-Zertifikaten auf 90 Tage ist wohl nur eine Frage der Zeit. Während kürzere Laufzeiten potenziell positive Auswirkungen auf die Cybersicherheit haben, wie die Reduzierung von Sicherheitsrisiken, stellen sie Unternehmen vor neue Probleme. Die häufigere Erneuerung von Zertifikaten erhöht die Belastung für Sicherheitsteams und birgt das Risiko größerer Ausfälle, wenn Zertifikate nicht rechtzeitig aktualisiert werden. Inmitten dieser Herausforderungen wird die Automatisierung des Zertifikatsmanagements immer wichtiger. Durch die Automatisierung können Unternehmen sicherstellen, dass sie mit den neuen Anforderungen Schritt halten können, indem sie Prozesse rationalisieren, Fehler reduzieren und die Effizienz steigern.

Wir, die PSW GROUP, bieten Ihnen mit unserem PSW ACME Client und durch unsere Partnerschaft mit essendi it bereits verschiedene Automatisierungslösungen an, die Sie bei der Verwaltung Ihrer SSL-Zertifikate unterstützen.