Apple prescht vor: Webserver-Zertifikate sollen schon nach einem Jahr ablaufen

Besonders die Betreiber kommerzieller Webseiten werden sich zügig umstellen müssen: Apple hat vor zwei Tagen (am 19. Februar 2020) eine Initiative angekündigt, die sie zwingt, ihre TLS-Verschlüsselungszertifikate künftig jährlich auszutauschen – statt wie bisher alle zwei Jahre. Das berichtet der Zertifikatsanbieter Digicert unter Berufung auf das „CA/Browser Forum“, das in dieser Woche in Bratislava getagt hat.

imageDer Digicert-Artikel dazu:

[DigiCert‘s Position on 1-Year TLS SSL Certificates]
https://www.digicert.com/position-on-1-year-certificates/

TLS-Zertifikate sorgen dafür, dass Webseiten verschlüsselt übertragen werden, sie sind auch unter dem veralteten Namen „SSL-Zertifikate“ bekannt. War es früher so, dass ein Unternehmen solch ein Zertifikat praktisch beliebig lang gültig lassen konnte, hatten sich die Browser-Hersteller in den letzten Jahren zunächst auf eine maximal dreijährige Laufzeit und zuletzt eine Begrenzung auf zwei Jahre geeinigt. Alle üblichen Browser akzeptieren TLS-Zertifikate seither nur, wenn deren Laufzeit zwischen Ausstellung und Ablauf höchstens zwei Jahre beträgt. Für den Betreiber einer Webseite bedeutet dies, dass er im selben Turnus die Zertifikate erneuern und austauschen muss. Das kann bei großen Webseiten durchaus einigen Aufwand bedeuten.

Alle Experten der IT-Industrie sind sich einig, dass kürzere Laufzeiten mehr Sicherheit bedeuten: Je länger ein Zertifikat im Einsatz ist, desto größer ist die Aussicht für einen Angreifer, dieses auf verschiedenen Wegen kompromittieren zu können. Dabei geht es weniger darum, die Verschlüsselung selbst zu knacken, das ist weitgehend aussichtslos. Eine lange Nutzungsdauer macht aber Patzer des Betreibers im Umgang mit den Zertifikaten wahrscheinlicher. So haben Hacker mehr Möglichkeiten, die zugehörigen privaten Schlüssel zu kapern und so Webseiten unter ihre Kontrolle zu bringen. Das ist nicht unwahrscheinlich: Hersteller Citrix etwa hatte vor wenigen Wochen in seinem Sicherheitsprodukt Netscaler eine Lücke, die den Zugriff auf diese privaten Schlüssel erlaubte.

Wie Digicert berichtet, hatte Google schon vor einiger Zeit gefordert, die maximale Laufzeit von TLS-Zertifikaten auf ein Jahr zu begrenzen. Die meisten anderen Browser-Hersteller lehnten ab, es blieb bei zwei Jahren. Vorgestern nun preschte Apple vor: Ab dem 1. September 2020 soll Apples Browser Zertifikate nur noch dann akzeptieren, wenn diese höchstens ein Jahr gültig sind. Webseiten, die das nicht erfüllen, wird Safari dann nicht mehr anzeigen. Zwar hat Safari auf PCs nur eine geringe Verbreitung, auf iPhones ist er aber der dominierende Browser. Die Änderung wird also große Auswirkungen haben – auch auf kleinere Firmen, deren Mitarbeiter über das iPhone etwa auf den Firmen-Mailserver zugreifen.

Aus diesem Grund ist davon auszugehen, dass für Firmen sehr bald kein Weg daran vorbeigeht, ihr Zertifikats-Management umzustellen. Der bisher meist manuelle Vorgang, ein TLS-Zertifikat auszutauschen, muss in vielen Fällen wohl automatisiert werden. Die Technik dafür existiert im Prinzip: Der Zertifikatsanbieter „Let’s Encrypt“ stellt seine kostenlosen TLS-Zertifikate nur für jeweils 90 Tage aus und setzt auf vollständige Automatisierung. Große Webseiten nutzen üblicherweise aber Zertifikate anderer Anbieter, weil diese erweiterte Eigenschaften bieten, die für Kunden ein höheres Vertrauensniveau erzeugen.