SSL-Zertifikate: Gültigkeitsdauer soll auf 90 Tage reduziert werden

Anfang März kündigte Google seine Absicht an, die maximale Gültigkeitsdauer von Zertifikaten für alle öffentlich vertrauenswürdigen SSL-Zertifikate auf nur 90 Tage zu reduzieren. Was hinter diesem Vorstoß steckt und was eine 90 Tage Zertifikatsgültigkeit für Unternehmen bedeutet, erfahren Sie in diesem Beitrag. Außerdem beleuchten wir Möglichkeiten, die Verwaltung von SSL-Zertifikaten durch Automatisierung zu erleichtern.

Im Überblick: Laufzeiten von SSL-Zertifikaten

Die Laufzeit von kommerziellen SSL-Zertifikaten wird seit Jahren kontinuierlich reduziert. Wurden anfangs noch Zertifikate mit einer Laufzeit von bis zu fünf Jahren ausgestellt, wurde 2015 die maximale Gültigkeit zunächst auf drei Jahre und 2018 schließlich auf zwei Jahre begrenzt. Seit dem Herbst 2020 werden SSL/TLS-Zertifikate maximal noch für einen Zeitraum von 13 Monaten ausgestellt. In seiner Roadmap hat Google nun sein Vorhaben angekündigt, die Laufzeit von SSL-Zertifikaten nochmals reduzieren zu wollen: Von einem Jahr auf 90 Tage.

Verkürzte Zertifikatslaufzeiten: Die Idee ist vernünftig, wenn auch etwas unhandlich, denn je länger ein Zertifikat gültig ist, desto weniger zuverlässig ist es. Ein SSL/TLS-Zertifikat wird von Browsern genutzt, um die Identität eines Webservers zu überprüfen. Je länger der Zeitraum zwischen der Überprüfung dieser Informationen ist, desto unzuverlässiger wird diese Überprüfung.

Eine kürzere Gültigkeit von SSL-Zertifikaten ist also durchaus mit Vorteilen für die Sicherheit verbunden, jedoch auch mit Nachteilen in der Administration und Verwaltung von SSL-Zertifikaten. In unserem Blogbeitrag „Die Hintergründe zur verkürzten Zertifikatslaufzeit“ haben wir uns ausführlich mit den Vor- und Nachteilen kurzlebiger Zertifikate auseinandergesetzt.

Die wichtigsten Gründe für die Reduzierung der Laufzeit von SSL-Zertifikaten

Zu den wichtigsten Gründen für das Verkürzen von Laufzeiten für SSL-Zertifikate gehören:

• Höhere Sicherheit: Wenn SSL-Zertifikate in kürzeren Intervallen ausgetauscht werden, finden vermehrt Identifikationsprüfungen statt.
• Missbrauch vorbeugen: In der Vergangenheit konnten kompromittierte SSL-Zertifikate oftmals von Kriminellen missbraucht werden. Werden die Austausch-Intervalle kürzer, können diese schneller aus dem Verkehr gezogen werden
• Neue Algorithmen: Kürzere SSL-Zertifikat-Laufzeiten ermöglichen einen schnelleren Umstieg auf neue neue Algorithmen und beschleunigen damit den technologischen Wandel.

Google kündigt Verkürzung der Laufzeit von SSL-Zertifikaten an

Im Anschluss an die Treffen des CA/B-Forums Anfang März 2023 kündigte Google in seiner Roadmap „Moving Forward, Together“ seine Absicht an, die maximale Gültigkeitsdauer von Zertifikaten für alle öffentlich vertrauenswürdigen SSL/TLS-Zertifikate auf nur 90 Tage zu reduzieren. Es gibt zwar noch kein genaues Datum oder eine Frist für das Inkrafttreten dieser Änderung, jedoch wird in der Branche davon ausgegangen, dass diese 90-Tage-Höchstdauer bis Ende 2024 in Kraft tritt.

Google möchte seinen Vorschlag über „ein zukünftiges Richtlinien-Update oder einen CA/B Forum Ballot-Vorschlag“ umsetzen. Dies bedeutet: Bei einer Umsetzung im CA/B Forum – welches die regulatorischen Anforderungen der Branche festlegt – wird der Vorschlag gemeinsam mit anderen Branchenteilnehmern (Browsern, Zertifizierungsstellen etc.) abgestimmt und beschlossen. Hierzu hat Google bereits eine Umfrage unter den Zertifizierungsstellen im CA/B-Forum veröffentlicht und bittet bis Ende März um Rückmeldungen zu seinen Plänen. Danach werden wohl die Termine für die Umsetzung aller vorgeschlagenen Änderungen bekannt geben.

Eine der wichtigsten Begründungen von Google für die weitere Verkürzung ist folgende: Durch die Reduzierung der maximalen Gültigkeitsdauer auf 90 Tage soll der Schritt zur Automatisierung ermutigt werden und „barocke, zeitaufwändige und fehleranfällige Ausstellungsverfahren“ der Vergangenheit angehören.

Angemerkt: Will Google eine Änderung erzwingen?

Google erweckt hier den Eindruck, dass es großartig ist, wenn das CA/B-Forum beschließt, die Branche durch einen Abstimmungsprozess zu verändern. Allerdings sei der Konzern auch bereit, diese Änderung einseitig zu erzwingen, indem es sie zu einer Anforderung für das Chrome-Root-Programm macht, was es zu einem De-facto-Standard machen würde, dem jede kommerzielle öffentliche Zertifizierungsstelle folgen muss. Da Browser ihre eigenen Root-Programm-Anforderungen kontrollieren, kann diese Änderung auch ohne ein CA/B-Forum-Mandat erfolgen.

Zwar soll die finale Umsetzung auf die 90 Tage Gültigkeitsdauer noch nicht sofort durchgeführt werden. Google signalisiert jedoch bewusst seine Absicht, der Industrie und den Verbrauchern von Zertifikaten Zeit zu geben, sich auf den unvermeidlichen Übergang und die damit verbundenen Auswirkungen vorzubereiten. Organisationen sind deshalb gut beraten, diese Frühwarnung zu nutzen. Denn diese weitere drastische Verkürzung auf nur noch rund 3 Monate maximale Gültigkeitsdauer wird für die Branche große Veränderungen bedeuten.

Kürzere Laufzeit von SSL-Zeiten: Die Auswirkungen für die Branche

Für IT-Sicherheit-Teams ist die offensichtlichste Auswirkung, wie sie die Verwaltung digitaler Zertifikate mit kürzeren Lebensdauern angehen werden.

Die Verwaltung von SSL/TLS-Zertifikaten war schon immer eine mühsame Angelegenheit. Alles, was über eine Handvoll Zertifikate hinausgeht, erfordert sorgfältige Planung: Durchführung mehrerer Validierungen, Ausstellung der Zertifikate, Installation auf den richtigen Servern, Konfiguration, Sicherstellung, dass an das Ablaufen der Zertifikate erinnert wird: All das ist ein riesiger Aufwand, der bislang einmal im Jahr notwendig ist. Und jetzt stellen Sie sich das Ganze viermal jährlich vor!

Zwar können Unternehmen digitale Zertifikate mit einer maximalen Lebensdauer von 90 Tagen technisch immer noch manuell verwalten, allerdings ist die manuelle Erneuerung und Bereitstellung schnell fehleranfällig, nicht nachhaltig und kann schwerwiegende Auswirkungen haben.

Bedenken Sie: Für fast alle Unternehmen wächst die Anzahl der digitalen Zertifikate, die sie verwalten müssen, ohnehin schnell, was unweigerlich zu höheren Arbeitsaufwänden der IT-Teams führt. Das Hinzufügen einer kürzeren Lebensdauer digitaler Zertifikate wird dieses Problem nur noch verstärken. Bei den meisten Unternehmen geht es nicht um ein Zertifikat, das viermal im Jahr bearbeitet werden muss, sondern um Dutzende oder gar Hunderte digitaler Zertifikate! Der traditionelle Ansatz, die Erneuerung und Bereitstellung jedes Serverzertifikats mehr als viermal pro Jahr manuell durchzuführen, wird unglaublich schwierig, wenn nicht gar undurchführbar sein.

SSL-Zertifikate: Automatisierung wird notwendig

Google gibt es in seiner Begründung für die Reduzierung der Laufzeit selbst mit an: Unternehmen kommen nicht umher, die Lebenszyklen digitaler Zertifikate in großem Umfang zu automatisieren. Um Risiken zu reduzieren, ist Automatisierung entscheidend. Es ist nicht nur die Lebensdauer von Zertifikaten, sondern auch die Dauer der Wiederverwendung der Domänenvalidierung.

Jetzt ist es an der Zeit, sich mit Optionen für CA-unabhängiges Certificate Lifecycle Management (CLM) zu befassen. Diese Lösungen helfen bei der Erkennung digitaler Zertifikate in riesigen Unternehmensumgebungen, unabhängig von der ausstellenden Zertifizierungsstelle, benachrichtigen Sie über bevorstehende Ablaufzeiten und stellen automatisch Verlängerungs- und Ersatzzertifikate bereit und installieren diese. Auf diese Weise tragen sie dazu bei, Ausfälle und Verstöße aufgrund der falschen Verwendung oder Erneuerung digitaler Zertifikate zu vermeiden.

Fazit: Weitere Verkürzung der Laufzeit von SSL-Zertifikaten ist nur eine Frage der Zeit

Der Trend hat sich abgezeichnet: Es bleibt wohl nur noch eine Frage der Zeit, bis die Laufzeit von SSL-Zertifikaten auf 90 Tage reduziert wird. Die Hintergründe der Browserhersteller für diese Änderung, in diesem Fall von Google, sind klar: Durch kürzere Intervalle finden häufiger Identifikationsprüfungen statt. Das soll Missbrauchszahlen reduzieren. Zudem können kompromittierte Zertifikate schneller aus dem Verkehr gezogen werden.

Jetzt ist es an der Zeit zu handeln und zu automatisieren! Wir bieten mit unserem PSW ACME Client und durch unsere Partnerschaft mit essendi it bereits verschiedene Automatisierungslösungen an, die Sie bei der Verwaltung Ihrer SSL-Zertifikate unterstützen.