IT-Security

Gültigkeitsdauer von SSL-Zertifikaten soll auf 13 Monate verkürzt werden

4. September 2019 von Admin PSW GROUP Blog WP

gueltigkeitsdauer_von_ssl-zertifikaten
© Proxima Studios - Adobe Stock

3
(1)

Der Suchmaschinenriese Google hat den Vorschlag eingebracht, die Gültigkeitsdauer von SSL-Zertifikaten herunterzusetzen. Neu ist dieser Vorschlag nicht: Schon bei der letzten Abstimmung stand er zur Debatte. Ryan Sleevi, einer der Vertreter von Google, legte den Vorschlag jedoch erstmals im Juni dem CA/B-Forum vor. Die Gültigkeitsdauer von SSL-Zertifikaten soll von derzeit zwei Jahren auf 13 Monate reduziert werden.

Interessengruppen der PKI-Branche versammeln sich im CA/B-Forum (CA/Browser-Forum): Zertifizierungsstellen (“Certificate Authority”, CA – jene Unternehmen, die SSL-Zertifikate ausstellen) sowie vertrauenswürdige Parteien (Softwarehersteller, u. a. Browserentwickler) sind dafür zuständig, Standards und Praktiken zu entwickeln, die das öffentliche PKI-Ökosystem sicherer gestalten.

Die Debatte zur SSL-Zertifikat-Laufzeit

Bisher handelt es sich lediglich um einen Vorschlag, um eine Idee, die diskutiert werden muss. Noch in der Entwurfsphase befindlich, existiert bislang keine Bestätigung, wann eine Abstimmung zu dieser Planung erfolgen wird. Gemunkelt wird, dass es neue Regelungen ab März 2020 geben könnte, bestätigt ist dies jedoch noch nicht.

Im Jahr 2017 gab es die Idee schon einmal: Das CA/B-Forum überlegte, die Lebensdauer von SSL-Zertifikaten von 39 Monaten auf 13 zu verkürzen. Man einigte sich schließlich darauf, zum Jahre 2018 die maximale Zertifikats-Lebensdauer von 39 Monaten auf 27 Monate zu verkürzen (wir berichteten) – kein allzu großer Sprung also.

Warum wird nun erneut über eine Verkürzung der Lebensdauer von SSL-Zertifikaten nachgedacht? Und was sagen eigentlich die Zertifizierungsstellen dazu?

Die Verkürzung soll die Sicherheit von SSL-Zertifikaten erhöhen

Wird die Gültigkeitsdauer von SSL-Zertifikaten herabgesetzt, so erhofft man sich dadurch eine Erhöhung der Sicherheit sowohl im World Wide Web als auch für Maschinenidentitäten. Würde beispielsweise heute ein Zertifikat kompromittiert, welches eine Gültigkeit von 27 Monaten aufweist, so kann es innerhalb dieser Zeit für bösartige Zwecke missbraucht werden. Durch einen Man-in-the-middle-Angriff wäre es möglich, über die Lebensdauer des Zertifikats den Datenverkehr zwischen Benutzer und Server zu beobachten, abzufangen und zu manipulieren.

Ein kürzerer Lebenszyklus von SSL-Zertifikaten würde darüber hinaus dazu beitragen, dass Websites die aktuelle Kryptographie nebst aktuellen Hashings verwenden. Cyberkriminalität ließe sich reduzieren, denn ein gestohlenes SSL-Zertifikat würde ein Jahr früher als bisher als veraltet gelten und nutzlos werden.

Sicherheitsforscher Sean Wright ist überzeugt: Da es zum Widerrufen von SSL-Zertifikaten derzeit keine wirksame Lösung gibt, seien kurzlebige Zertifikate “die beste Lösung, die wir derzeit zur Verfügung haben”. Auch Sicherheitsforscher Scott Helme ist von dieser Idee begeistert: Eine verkürzte Gültigkeitsdauer würde das Problem des fehlenden Widerrufs “beheben”; schlechte SSL-Zertifikate liefen schneller aus. Die Zertifizierungsstelle Sectigo (ehemals Comodo, wir berichteten) sieht die neu entfachte Diskussion als Gelegenheit, die hauseigenen Tools zur Automatisierung der Verlängerung von SSL-Zertifikaten zu betonen.

Zertifizierungsstellen befürchten hohe Kosten

Die Zertifizierungsstellen (CAs) sind jedoch wenig begeistert von der Idee, die Gültigkeitsdauer von SSL-Zertifikaten noch weiter herabzusetzen. Der DigiCerts-Vertreter im CA/B-Forum, Timothy Hollebeek, ist sich unsicher, ob Kosten und Aufwand einer Verkürzung der Lebensdauer wirklich im Verhältnis zum Nutzen stehen. Schließlich würde die Umstellung auf eine verkürzte Laufzeit dazu führen, dass dem Käufer von SSL-Zertifikaten, also den Kunden der CA, höhere Kosten entstehen. Man müsse mehr Personal einsetzen, um die SSL-Zertifikate auf dem neuesten Stand zu halten oder auch um Wartungsupdates auszuführen, wenn ein SSL-Zertifikat ausläuft. Hollebeek argumentiert zudem, dass “kürzere Lifetime-Zertifikate schnellere Übergänge ermöglichen, wenn sich die Compliance-Regeln ändern”. Ob das wirklich ein guter Grund ist, erscheint uns fraglich, denn feststehende Standards sollten sich in aller Regel nicht so oft ändern.

DigiCert argumentiert weiter, dass das Kontrollieren der Laufzeit von SSL-Zertifikaten als Sicherheitsmaßnahme lediglich theoretisch sei. Praktisch jedoch hätten jene Unternehmen einen Sicherheitsvorteil, “die ihre Sicherheitskontrollen und -richtlinien tatsächlich durchsetzen und die Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken”.

Da ist was dran: Zweifellos würde die Zertifikatssicherheit davon profitieren, Unternehmen mehr Zeit zu geben, die Automatisierung voranzutreiben, Systeme testen zu können und auf eine mögliche Änderung im Lebenszyklus von SSL-Zertifikaten vorbereitet zu sein.

Die SSL-Gültigkeitsprüfung sollte im Fokus stehen

Unabhängig von der Entscheidung also, ob eine Verkürzung der Gültigkeitsdauer für SSL-Zertifikate stattfinden wird oder nicht, ist es wichtig, entsprechende Prozesse sowie Automationen zu etablieren. So ließen sich die Gültigkeitsprüfung, aber auch das Management zum Erneuern abgelaufener SSL-Zertifikate effizient gestalten. Mögliche Probleme und Sicherheitsrisiken werden effektiv minimiert.

Gültigkeitsdauer von SSL-Zertifikaten – Bloßer Machtkampf?

Für eine Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten auf 13 Monate gibt es diverse Argumente. Eine reine Verkürzung jedoch wird die Sicherheit nur geringfügig erhöhen – automatisierte Prozesse mit entsprechendem Management für kompromittierte oder abgelaufene SSL-Zertifikate ergänzen diese Maßnahme sinnvoll.

Vielleicht ist dieser erneute Vorschlag einer Senkung der Gültigkeitsdauer auch nur ein Machtkampf. So sieht es zum Beispiel auch ZDNet. So ginge es bei diesem Vorschlag letztlich nur um eine Frage: Wer kontrolliert die HTTPS-Landschaft?

Es bleibt abzuwarten, wie es weitergeht und ob es wirklich zu einer Abstimmung kommen wird. Selbstverständlich verfolgen wir, die PSW GROUP, das Thema für Sie und berichten, sobald es Neuigkeiten gibt.

Update, 05.11.2019: Sectigo bietet 5-Jahres-Zertifikate

Die CA Sectigo hat ein Abo-Modell entwickelt, mit dem der Aufwand und die Kosten für Kunden reduziert werden können. Es sind nun also wieder 5-Jahres-Zertifikate erhältlich. Weitere Details verraten wir Ihnen in unserem Beitrag „SSL-Zertifikate mit 5-jähriger Laufzeit„.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 3 / 5. Vote count: 1


1 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Auf dieses Thema gibt es eine Reaktion