IT-Security

Änderung der CA / B Forum Baseline Requirements: Ende der 3-Jahres-SSL-Zertifikate bei GlobalSign

7. April 2017 von Admin PSW GROUP Blog WP

ca-anpassung-2017
©jirsak - stock.adobe.com

5
(1)

Das CA / Browser Forum hat jüngst abgestimmt und neue Sicherheitskriterien für SSL-Zertifikate festgelegt. Die Gültigkeit aller SSL-Zertifikate wird zum 01. März 2018 auf maximal 825 Tage (27 Monate) beschränkt. Im folgenden Beitrag gehen wir auf die Auswirkungen der Anpassung an und geben zudem einen Ausblick auf organisationsvalidierte SSL-Zertifikate. Wir erklären Ihnen zudem mit praktischen Beispielen, warum GlobalSign die Ausstellung von SSL-Zertifikaten mit dreijähriger Laufzeit beendet hat.

 

GlobalSign aktualisiert SSL-Zertifikatspolitik

Auch GlobalSign stimmte für die Änderungen und hat bereits seine SSL-Zertifikatspolitik aktualisiert. Damit verfolgt die Zertifizierungsstelle das Erfüllen zweier wichtiger Anforderungen:
Schon ab dem 20. April 2017 wird GlobalSign keine 3-Jahres-SSL-Zertifikate mehr ausstellen, um seine Kunden zu schützen. Denn mit dem 01. März 2018 sollen keine GlobalSign-eigenen 3-Jahres-SSL-Zertifikate mehr im Umlauf sein. Um also abgeschnittene Gültigkeitszeiträume zu vermeiden, reagiert die CA bereits jetzt.
Domain- und Organisationsprüfungen dürfen nicht länger als 825 Tage, also 27 Monate, zurückliegen, bevor ein Zertifikat neu ausgegeben wird. Zuvor lag dieser Zeitraum bei 39 Monaten.

CA / B Forum: Auswirkungen auf Sie als GlobalSign-Kunden

Auswirkungen auf Neubestellungen haben die Neuerungen nicht. Die Änderungen sind dann relevant, wenn Sie Ihr SSL-Zertifikat ausgetauscht, neue SANs hinzufügen oder gelöscht wissen möchten, denn die Domain- und Organisationsinformationen dürfen nicht älter als 27 Monate sein.

Zertifikataustausch: Praktische Beispiele domainvalidierter Zertifikate

Um die folgenden Szenarien zu verhindern, stellt GlobalSign keine domainvalidierten SSL-Zertifikate mit dreijähriger Laufzeit mehr aus. Mit GlobalSign sind auch die Töchter DomainSSL sowie AlphaSSL eingeschlossen.

  • 1. Szenario: Ein Kunde tauscht sein SSL-Zertifikat mit verbleibender Gültigkeit von über 27 Monaten nach dem 01.03.2018 aus. Unterm Strich würde die Gültigkeit des SSL-Zertifikats nun auf 27 Monate gekürzt werden – eine längere Gültigkeitsdauer ist schlicht nicht zulässig. Um eben diesen Verlust für eigene Kunden zu verhindern, stellt GlobalSign bereits zum 20. April 2017 keine 3-Jahres-Zertifikate mehr aus.
  • 2. Szenario: Ein Kunde versucht nach dem 20. April 2017, nach 27 Monaten sein 3-Jahres-Zertifikat auszutauschen. Da jedoch die Domainprüfung binnen der letzten 27 Monate stattgefunden haben muss, wird der Austausch-Versuch abgelehnt.

Für Sie bedeutet das:
Jedwede Versuche, domainvalidierte 3-Jahres-Zertifikate auszutauschen, werden nach dem 20. April 2017 abgelehnt werden müssen, weil die Domainprüfung mehr als 27 Monate zurückliegt.

Abkündigung organisationsvalidierter SSL-Zertifikate

Auch wird GlobalSign organisationsvalidierte SSL-Zertifikate mit dreijähriger Laufzeit ablehnen, um das folgende Beispiel verhindern zu können:

3. Szenario:
Ein Zertifikate-Inhaber möchte nach dem 01. März 2018 sein SSL-Zertifikat mit einer noch verbleibenden Gültigkeit von über 27 Monaten austauschen. Auch hier muss die Gültigkeit auf 27 Monate gekürzt werden – dies ist die maximal zulässige Gültigkeitsdauer. Um dieses Thema in 2018 zu vermeiden, stellt GlobalSign ab dem 20. April 2017 bereits keine SSL-Zertikate mit dreijähriger Laufzeit aus.

 

OV-Zertifikate benötigen noch eine Lösung

GlobalSign hat vorübergehend die Möglichkeit deaktiviert, organisationsvalidierte SSL-Zertifikate (OV-Zertifikate) auszutauschen, um den neuen Anforderungen des CA / B-Forums gerecht zu werden. Wir hoffen, dass GlobalSign im kommenden Monat eine Lösung bereitstellt.

Ihre Fragen beantworten wir wie immer gerne! Nehmen Sie einfach Kontakt mit uns auf.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu