SSL-Zertifikat-Laufzeit: die Hintergründe zur verkürzten Zertifikatslaufzeit

Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von fünf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang dafür gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. Das ist mit Vorteilen für die Sicherheit verbunden, jedoch auch mit Nachteilen in der Administration. Wir fassen zusammen, wann welche Zertifikatslaufzeiten durch wen verändert wurden, und werfen einen Blick auf die Hintergründe dieser Entwicklungen und welchen Einfluss diese auf die Laufzeiten von SSL-Zertifikaten hatten.

SSL-Zertifikat-Laufzeit: Roadmap – kürzere Laufzeiten für mehr Sicherheit

Die große Diskussion um die Laufzeit von SSL-Zertifikaten begann etwa im Jahre 2015. Vorher waren fünfjährige Laufzeiten für SSL-Zertifikate durchaus gängig. Zuständig für Fragen rund um SSL-Zertifikate ist mit dem CA/Browser Forum ein Zusammenschluss aus verschiedenen Interessengruppen der PKI-Branche, mitunter Zertifizierungsstellen und Webbrowser-Hersteller. Dieses CA/Browser Forum diskutiert und entscheidet unter anderem über die Mindestanforderungen an Zertifizierungsstellen. Auch in der Diskussion um die SSL-Zertifikat-Laufzeit war das CA/Browser Forum immer mit dabei – bis Apple seinen Alleingang startete. Eine übersichtliche Abfolge der Ereignisse liefert die folgende Roadmap:

2015: Erstes Herabsetzen der Laufzeit für SSL-Zertifikate

Waren vor 2015 SSL-Zertifikate mit Laufzeiten von fünf Jahren sehr gängig, war es damit nun vorbei: Das CA/Browser Forum einigte sich mit allen Beteiligten darauf, die SSL-Laufzeit auf 36 Monate zu limitieren. Davon zählten drei Jahre zur eigentlichen Laufzeit, drei Monate wurden als Puffer zum Erneuern eines Zertifikats angehängt.

2017 & 2018: Laufzeitgrenze auf 2 Jahre minimiert

Wieder war das CA/Browser Forum Impulsgeber zu einer weiteren Reduktion der Laufzeit von SSL-Zertifikaten: Am 17. März veröffentlichten die Mitglieder des CA/Browser Forums, dass man die maximale Laufzeit von SSL-Zertifikaten auf 825 Tage, also zwei Jahre begrenze. Wieder wurde also ein weiteres Laufzeit-Jahr gestrichen.

Die Planung aus 2017 wurde zum 01. März 2018 dann in die Tat umgesetzt: SSL-Zertifikate erhielten eine maximale Laufzeit von zwei Jahren.

2019: Neue Diskussionen um SSL-Zertifikat-Laufzeit

Der im CA/Browser Forum aktive Google-Vertreter Ryan Sleevi legte im Juni 2019 erneut den Vorschlag vor, die Gültigkeit von SSL-Zertifikaten weiter herabzusetzen. Sein Ziel war es, die SSL-Laufzeit auf 13 Monate zu minimieren. Außer einigen leidenschaftlichen Diskussionen gab es jedoch keine Ergebnisse – man munkelte sogar, es handle sich um reine Machtkämpfe im HTTPS-Ökosystem. Über das Für und Wider der Reduktion von SSL-Zertifikat-Laufzeiten und über die Argumente der verschiedenen Seiten berichteten wir seinerzeit.

2020: Apple reduziert SSL-Zertifikat-Laufzeit eigenständig

Anfang des Jahres 2020 sorgte Apple für eine Überraschung: Eigenständig setzte der US-Gigant die Laufzeit von SSL-Zertifikaten im hauseigenen Safari-Browser auf ein Jahr herab; wir berichteten. Dass andere Browser-Entwickler sich dem anpassen mussten, verstand sich von selbst, und so zogen im August 2020 auch Mozilla mit Firefox und Google mit Chrome nach. Somit wurde die SSL-Zertifikat-Laufzeit mit dem 01. September 2020 auf ein Jahr bzw. maximal 398 Tage herabgesetzt.

Gültigkeit von SSL-Zertifikaten: Hintergründe kurz erklärt

Zertifizierungsstellen sind von Browsern abhängig – und Browser von Zertifizierungsstellen: Browser müssen die Zertifikate der Zertifizierungsstellen nutzen, um Verbindungen zu sichern und Vertrauensentscheidungen über Websites treffen zu können. Ein vonseiten der Zertifizierungsstelle gültiges Zertifikat nützt niemandem etwas, wenn es der Browser nicht als vertrauenswürdig erkennt. Eben dieser Prozess wird über sogenannte Root-Programme gehandhabt, von denen es vier relevante gibt: Google, Microsoft, Mozilla sowie Apple.

Diese Root-Programme stehen auch hinter den wichtigsten Browsern: Chrome, Edge, Firefox und Safari. Damit SSL-Zertifikate der Zertifizierungsstellen von den Root-Programmen – und damit natürlich auch von den dahinterstehenden Browsern sowie Betriebssystemen – als vertrauenswürdig erkannt werden, müssen sie die Richtlinien der Root-Programme erfüllen.

Die Root-Programme nehmen als Browser am CA/Browser Forum teil. Sie können nach wie vor Änderungen vornehmen, die im eigenen Ermessen liegen – wie es auch Apple getan hat. Hier hat das CA/Browser Forum als Ganzes wenig Macht: Dieses Branchenforum kann maximal dazu beitragen, Änderungen, die von Root-Programmen vorgegeben werden, zu erleichtern. Die Praxis zeigt es: Apple hat als Root-Programm eigenmächtig die Kürzung der SSL-Zertifikat-Laufzeit angekündigt, alle anderen müssen zwangsläufig mitziehen.

Kürzere SSL-Zertifikat-Laufzeit: Vor- und Nachteile

Das Verkürzen von Laufzeiten in der SSL-Welt bringt zweifelsohne diverse Vorteile mit sich, insbesondere in Hinblick auf die Sicherheit der SSL-Verschlüsselung:

• Prüfungen: Müssen SSL-Zertifikate in kürzeren Intervallen ausgetauscht werden, so finden vermehrt Identifikationsprüfungen statt. Das soll Missbrauchszahlen reduzieren.
• Schneller aus dem Verkehr gezogen: In der Vergangenheit konnten kompromittierte SSL-Zertifikate oftmals von Kriminellen missbraucht werden. Bei kürzeren Laufzeiten reduziert sich auch die Zeitspanne, in der kompromittierte SSL-Zertifikate im Umlauf sind, sodass weniger Zeit für deren Missbrauch und für etwaige Angriffe bleibt.
• Uralt-Algorithmen: Kürzere SSL-Zertifikat-Laufzeiten bringen weiter den Vorteil mit sich, dass Zertifikate mit als veraltet und unsicher geltenden Algorithmen aus dem Verkehr gezogen werden.

Auf der Seite der Kritiken gibt es ein Hauptargument: Sowohl der Endnutzende als auch die Zertifizierungsstelle haben einen höheren Aufwand zu stemmen, was auch mit erhöhten Kosten verbunden sein kann.

SSL-Zertifikat-Laufzeit: Argumente sind berechtigt

Schaut man sich die Argumente auf beiden Seiten an, wird schnell deutlich, dass die Diskussion um die Laufzeiten von SSL-Zertifikaten sinnvoll ist. Befürworter und Kritiker kürzerer SSL-Laufzeiten haben überzeugende Gründe für ihren Standpunkt.

Glücklicherweise gibt es auch auf Anbieter-Seite genug Kreativität, wie es gelingen kann, den Aufwand und damit die Kosten aufseiten des Endnutzenden geringer zu halten: Wir, die PSW GROUP, haben ein Abo-Modell für alle unsere SSL-Zertifikate entwickelt. Alle angebotenen SSL-Zertifikate können in unterschiedlichen Paketen mit Laufzeiten von eins bis vier Jahren erworben werden. Technisch werden dabei alle aktuellen Vorgaben eingehalten – das SSL-Zertifikat wird regelmäßig erneuert. Dank Automatisierung können Nutzende dadurch unter anderem zeitlichen Aufwand einsparen, sodass der Komfort deutlich erhöht wird – ganz ohne Sicherheitseinbußen.

Auch mit unserer PSW Konsole gehen wir den Weg der Automatisierung. Lassen Sie sich tatkräftig unterstützen und verwalten Sie Ihre Zertifikate unbürokratisch und übersichtlich. Haben Sie Fragen zur SSL-Zertifikat-Laufzeit im Allgemeinen oder zu unserer Zertifikatsverwaltung im Besonderen, kontaktieren Sie uns einfach – wir kommen gerne ins Gespräch mit Ihnen!

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.