Neuer Zertifikatstyp definiert: Kurzzeit-Zertifikate (SLCs)

Kurzzeit-Zertifikate sind schon seit über 10 Jahren in der Diskussion im CA/Browser-Forum gewesen. Mittlerweile wurde dieser neue Zertifikatstyp vom CA/Browser-Forum genehmigt. Wir erklären Ihnen in unserem Blogbeitrag, was Kurzzeit-Zertifikate sind, welche Besonderheiten es beim Revoke der Kurzzeit-Zertifikate zu beachten gibt und welche Vorteile der neue Zertifikatstyp mit sich bringt.

Was sind Kurzzeit-Zertifikate (SLCs)?

Wie schon der Name verrät, haben Kurzzeit-Zertifikate, oder sogenannte Short‐lived Subscriber Certificate (SLCs), im Vergleich zu herkömmlichen digitalen Zertifikaten eine deutlich kürze Laufzeit von nur wenigen Tagen. Als Kurzzeit-Zertifikate gelten nach dem 15.03.2024 ausgestellte Zertifikate mit einer Gültigkeit von 10 oder weniger Tagen. Ab dem 15.03.2026 sind es 7 oder weniger Tage.

Im Vergleich dazu werden SSL/TLS-Zertifikate nach den aktuellen Standards des CA/Browser-Forum seit dem Herbst 2020 mit einer maximalen Gültigkeitsdauer von 13 Monaten ausgestellt. Nach einem Vorstoß von Google im letzten Jahr wird jedoch bereits intensiv über eine weitere Reduzierung der Laufzeit von SSL-Zertifikaten auf 90 Tage diskutiert. Mehr dazu erfahren Sie in unserem Blogbeitrag „SSL-Zertifikate: Gültigkeitsdauer soll auf 90 Tage reduziert werden“.

Short-lived subscriber certificates (Kurzzeitzertifikate) sind aktuell nur für SSL/TLS-Zertifikate definiert. Andere Arten von digitalen Zertifikaten wie S/MIME- und Code-Signning-Zertifikate sind nicht von dieser Änderung betroffen – hier wurden vom CA/Browser-Forum keine SLCs definiert.

Die Vorteile der Kurzzeit-Zertifikate (SLCs)

SLCs sollen dazu beitragen, die Kompromittierung des privaten Schlüssels geringer zu halten. Deshalb liegt ein Vorteil von Kurzzeit-Zertifikate (SLCs) auf der Hand: Bei einer kürzeren Gültigkeitsdauer des digitalen Zertifikats ist das Missbrauchspotenzial des privaten Schlüssels entsprechend geringer als bei längeren Laufzeiten, da die Zertifikate häufiger ausgetauscht werden.

Außerdem sollen Short‐lived Subscriber Certificate (SLCs) dabei helfen, die Herausforderungen mit der Zertifikatsperrung zu beheben. Deshalb gibt es Besonderheiten, die beim Widerruf der Kurzzeit-Zertifikate vom CA/Browser-Forum definiert wurden.

Besonderheiten beim Widerrufen der Kurzzeit-Zertifikate

Für Kurzzeit-Zertifikate besteht für die Zertifizierungsstellen (CAs) keine Pflicht zum Revoke der Zertifikate, sondern ist aufgrund der sehr kurzen Laufzeit optional. Normalerweise müssen CAs bei Missbrauchsmeldung nach angegebenem Grund ein Widerruf des Zertifikats (Revoke) innerhalb von 24 Stunden oder 5 Tagen ausführen.

Kurzzeit-Zertifikate sind ebenfalls von der Pflicht ausgenommen, dass die Certifcate Revocation List (CRL) Distribution Point extension im Zertifikat enthalten sein muss. Diese extension ist in diesen Zertifikaten optional.

Fazit zu Kurzzeit-Zertifikate ((SLCs)

In den letzten Jahren hat sich bei der Gültigkeitsdauer von SSL-Zertifikaten einiges getan. Wie wir in unsrem vorangegangenen Blogbeitrag „SSL-Zertifikate: Gültigkeitsdauer soll auf 90 Tage reduziert werden.“ Bereits erläutert haben, ist absehbar, dass in naher Zukunft ebenfalls eine weitere Verkürzung der Gültigkeitsdauer bei herkömmlichen SSL-Zertifikaten bevorsteht.

Zusammenfassend lässt sich festhalten, dass Kurzzeit-Zertifikate (SLCs) das Ziel verfolgen, durch sehr schnelles Ablaufen die Cybersicherheit erhöhen sollen, das das mögliche Zeitfenster für Angreifer durch die Gültigkeitsdauer von wenigen Tagen immer weiter minimiert wird.

Eine Herausforderung, die durch immer kürzere Laufzeiten entstehen und viele Unternehmen deshalb vor Hindernisse stellt, sind die Verwaltung und der häufigere Austausch, die das Zertifikatsmanagement erschweren. Aus diesem Grund werden Automatisierungslösungen für ein effektives Zertifikatsmanagement immer wichtiger. Wir, die PSW GROUP, bieten Ihnen mit unserem PSW ACME Client und durch unsere Partnerschaft mit essendi it bereits verschiedene Automatisierungslösungen an, die Sie bei der Verwaltung Ihrer SSL-Zertifikate unterstützen.