Gültigkeitsdauer von TLS-Zertifikaten offiziell auf 47 Tage verkürzt

 (digicert.com)
16 Punkte von GN⁺ 2025-04-17 | 1 Kommentare | Auf WhatsApp teilen
  • Verkürzung der TLS-Zertifikatslaufzeit: Das CA/Browser Forum hat beschlossen, die Gültigkeitsdauer von TLS-Zertifikaten zu verkürzen. Bis 2029 soll die Laufzeit von Zertifikaten auf 47 Tage sinken
  • Bedeutung der Automatisierung: Durch die verkürzte Gültigkeitsdauer von Zertifikaten wird Automatisierung unverzichtbar. Apple betont, dass Automatisierung für das Management des Zertifikatslebenszyklus essenziell ist
  • Probleme mit der Zuverlässigkeit von Zertifikatsinformationen: Die Zuverlässigkeit von Zertifikatsinformationen nimmt mit der Zeit ab, weshalb häufige erneute Validierungen erforderlich sind
  • Probleme bei Systemen zum Zertifikatswiderruf: Systeme zum Zertifikatswiderruf mit CRL und OCSP sind nicht zuverlässig, und kürzere Laufzeiten können dies abmildern
  • Kosten und Automatisierungslösungen: Die Kosten für den Zertifikatsaustausch basieren auf Jahresabonnements, und durch Automatisierung wird häufig freiwillig ein schnellerer Austauschzyklus gewählt

Verkürzung der Gültigkeitsdauer von TLS-Zertifikaten

  • Das CA/Browser Forum hat offiziell beschlossen, die Gültigkeitsdauer von TLS-Zertifikaten zu verkürzen
  • Ab März 2026 wird die Gültigkeitsdauer von Zertifikaten auf 200 Tage reduziert, 2027 auf 100 Tage und 2029 auf 47 Tage
  • Auch die Wiederverwendungsdauer von Validierungsinformationen für Domains und IP-Adressen soll bis 2029 auf 10 Tage verkürzt werden

Bedeutung von 47 Tagen

  • 47 Tage entsprechen 1 Monat (31 Tage) plus der Hälfte von 30 Tagen (15 Tage) sowie 1 Tag Reserve
  • Apple betont, dass Automatisierung für das Management des Zertifikatslebenszyklus essenziell ist

Probleme mit der Zuverlässigkeit von Zertifikatsinformationen

  • Die Zuverlässigkeit von Zertifikatsinformationen nimmt mit der Zeit ab, weshalb häufige erneute Validierungen erforderlich sind
  • Systeme zum Zertifikatswiderruf sind nicht zuverlässig, und kürzere Laufzeiten können dies abmildern

Notwendigkeit der Automatisierung

  • Durch die verkürzte Gültigkeitsdauer von Zertifikaten wird Automatisierung unverzichtbar
  • DigiCert bietet über Trust Lifecycle Manager und CertCentral verschiedene Automatisierungslösungen an

Zusätzliche Informationen und Blog-Abonnement

  • Aktuelle Informationen zu Zertifikatsmanagement, Automatisierung und TLS/SSL finden sich im DigiCert-Blog
  • Für detaillierte Informationen zu Automatisierungslösungen kann DigiCert kontaktiert werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-04-17
Hacker-News-Kommentare

  • "Ich frage mich, was hier eigentlich das Endziel ist. Ich stimme den Gegenargumenten zu. Warum dann nicht 30 Sekunden?"

    • "Wenn wir den Schwellenwert überschreiten, an dem alles so weit automatisiert sein muss, dass die Nutzung von TLS sonst nicht mehr praktikabel ist, warum sollte man dann überhaupt noch mehr als 48 Stunden Laufzeit gewähren?"
    • "Das fühlt sich eher wie eine ideologische Mission als etwas Praktisches an. Ich weiß nicht, ob es einen finanziellen oder machtpolitischen Vorteil hat, alle dazu zu zwingen, ihre gesamte Infrastruktur jeden Monat zu ändern."

  • "Bei der Arbeit mit großen Unternehmen sehe ich, dass sie wegen der immer kürzeren Laufzeiten meist intern signierte Zertifikate verwenden."

    • "Öffentliche Zertifikate werden für Edge-Geräte/Load-Balancer verwendet, aber interne Services nutzen von einer internen CA signierte Zertifikate mit langer Laufzeit."
    • "Das liegt an den vielen Apps, bei denen die Nutzung von Zertifikaten umständlich ist."

  • "Wie ich in einem anderen Thread gesagt habe, wird das die Möglichkeit beseitigen, eine eigene CA für die eigenen Subdomains zu erstellen."

    • "Nur große, in Browsern eingebaute CAs werden noch eigene CA-Zertifikate mit der gewünschten Laufzeit haben können."
    • "Aus Sicherheitssicht ist das ein zweischneidiges Schwert."
    • "Wenn sich alle daran gewöhnen, dass Zertifikate ständig wechseln, und Certificate Pinning verschwindet, wird es schwerer zu merken, wenn China oder ein Unternehmen ein gefälschtes Zertifikat ausliefert."
    • "Statt geschlossener Systeme müssten dann alle Maschinen weltweit für System-Updates fast dauerhaft mit irgendwelchen zufälligen Zertifikatsservern verbunden sein."
    • "Wenn Digicert- oder Letsencrypt-Server oder ein 'Zertifikats-Update-Client' kompromittiert wird oder ein Sicherheitsproblem hat, könnte der Großteil der Server weltweit in sehr kurzer Zeit kompromittiert werden."

  • "Über die folgende Erklärung im Artikel musste ich lachen."

    • "47 Tage mögen wie eine willkürliche Zahl wirken, aber es ist eine einfache Verkettung."
    • "47 Tage = maximal ein Monat (31 Tage) + 1/2 von 30 Tagen (15 Tage) + 1 Tag Puffer"
    • "47 ist also nicht willkürlich, aber 1 Monat, 1/2 Monat und 1 Tag sind es nicht?"

  • "Als Zertifizierungsstelle ist eine der häufigsten Fragen von Kunden, ob häufigerer Zertifikatswechsel zusätzliche Kosten verursacht."

    • "Die Antwort ist nein. Die Kosten basieren auf einem Jahresabonnement."
    • "Digicert, mal langsam. Die Preise basieren auf einem Jahresabonnement. Die Kosten für die CA steigen tatsächlich minimal, liegen aber ohnehin schon fast bei null."
    • "Eine CA zu betreiben ist eines der einfachsten Geschäfte der Welt."

  • "Wir haben unser Monitoring so eingerichtet, dass es eine nicht kritische Warnung vom Typ 'kann bis Montag warten' sendet, wenn ein SSL-Zertifikat noch 14 Tage oder weniger gültig ist, und eine 'Bitte nicht stören'-Warnung, wenn noch 48 Stunden bis zum Ablauf bleiben."

    • "Vor ein paar Jahren ist cert-manager in einen seltsamen Zustand geraten, deshalb möchte ich es beim nächsten Mal frühzeitig bemerken."

  • "Ich wünschte, Verschlüsselung und Identität wären in Zertifikaten nicht so eng miteinander verknüpft."

    • "Wenn ein Zertifikat ausgestellt wird, kümmert mich die Verschlüsselung immer, aber manchmal die Identität nicht."
    • "Wenn mich nur die Verschlüsselung interessiert, muss ich trotzdem den zusätzlichen Aufwand für die Identität in Kauf nehmen."

  • "Ich frage mich, ob dadurch wieder alle Chromecasts aufhören zu funktionieren, sobald das umgesetzt wird."

    • "Wenn man sich Googles Reaktion während des Chromecast-Ausfalls Anfang dieses Jahres ansieht, wird Chromecast offenbar mit Minimalbesetzung betrieben und hat nicht die Ressourcen, die Zertifikatserneuerung zu automatisieren."

  • "Mit Automatisierung und kurzfristigen Zertifikaten werden Zertifizierungsstellen eher OpenID-Providern ähnlich."

    • "Ein wichtiger Teil der Sicherheit konzentriert sich darauf, wie die Zertifizierungsstelle den Besitz einer Domain überprüft."
    • "Vielleicht könnten Clients die Verifikation auch direkt selbst durchführen, statt sich auf Zertifikate zu verlassen."
    • "Wenn sich ein Client zum Beispiel mit einem Server verbindet, könnte er zwei eindeutige Werte senden, und der Server müsste einen DNS-Record erzeugen."
    • "Authentifizierung über DNS. Dann müsste man das DNS-System beschleunigen."

  • "Das wird die Abhängigkeit von Certificate Pinning an zwei interessanten Stellen aufbrechen."

    • "Mobile Apps"
    • "Unternehmens-APIs. Viele Unternehmen pinnen Zertifikate und beschweren sich, wenn wir Zertifikate rotieren."
    • "Eine Laufzeit von 47 Tagen wird sie dazu zwingen, das Pinning automatisch mit zu rotieren."

  • "Die Annahme hier ist, dass ein privater Schlüssel leichter kompromittiert werden kann als das Geheimnis bzw. der Mechanismus, mit dem Zertifikate ausgestellt werden."

    • "Bei diesem Teil bin ich mir nicht sicher."