|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Alleingang: Apple verkürzt Laufzeit von SSL-/TSL-Zertifikaten

26. Februar 2020

Seit Einführung der europäischen Datenschutzgrundverordnung (DSGVO) benötigen Webseiten, die persönliche Daten abrufen oder verarbeiten, ein SSL-/TSL-Zertifikat. Dieses bestätigt, dass die Daten, die zwischen Browser und Server übertragen werden verschlüsselt sind. Dazu zählen beispielsweise Seiten, die ihren Nutzern eine Newsletter-Anmeldung anbieten, Onlineshops aber auch Foren, bei denen man sich anmelden muss. SSL steht dabei für „Secure-Sockets-Layer“ und wurde von der Firma Netscape entwickelt. Mit der Version 3.1 wurde das Protokoll zum Standard erklärt und in „Transport-Layer-Security“, kurz: TSL, umbenannt. Eine Webseite mit TSL-Zertifikat ist für die Nutzer meist leicht am kleinen Schloss-Icon in der Adresszeile und am „https“ in der URL selbst zu erkennen. Darüber hinaus kennzeichnen Browser wie Chrome Seiten ohne oder mit einem abgelaufenen Zertifikat als „Nicht sicher“.

Ausgegeben werden die Zertifikate von Zertifizierungsstellen wie DigiCert, Let’s Encrypt oder Network Solutions und sind aktuell für rund zwei Jahre gültig. Doch das ändert sich zum 01. September 2020 zumindest für Nutzer von Apples Safari-Browser, wie DigiCert in einer Mitteilung bekannt gab. Auf einer Konferenz des CA/Browser Forums, eines Zusammenschlusses von Zertifizierungsstellen und Herstellern von Browsern, in Bratislava habe Apple den Plan geäußert, ab dem 1. September 2020 nur noch TSL-Zertifikate mit einer Laufzeit von maximal 398 Tagen zu akzeptieren. Damit würde Apple im Alleingang eine Verkürzung der Zertifikatlaufzeit einführen, die Seitenbetreiber vor eine Herausforderung stellen könnte, da künftig alle iPhones, iPads und MACs Seiten mit einem länger gültigen Zertifikat als „nicht sicher“ einstufen würden. Eine offizielle Bestätigung dieses Vorhabens seitens Apple gibt es noch nicht.

Laut DigiCert hatte Google bereits im vergangenen August den Vorschlag im CA/Browser-Forum eingebracht, die Laufzeit der Zertifikate zu verkürzen, war aber am Widerstand von tausenden Nutzern gescheitert, die den zusätzlichen Aufwand für die kürzer laufenden Zertifikate beklagt hatten. Bereits die Anfang 2018 eingeführte 2-jährige Laufzeit scheint viele Seitenbetreiber vor Herausforderungen zu stellen, denn immer wieder stößt man im Netz auf Seiten mit abgelaufenen Zertifikaten. Der Vorstoß von Apple dürfte nun de facto dazu führen, dass andere Browser-Hersteller nachziehen und sich die noch kürzere Laufzeit von 13 Monaten durchsetzt.

Doch warum drängen sowohl Apple als auch Google auf eine weitere Einschränkung der Gültigkeit von SSL-/TSL-Zertifikaten? Ganz einfach: Zum Schutz der Nutzer. Immer wieder kommt es vor, dass solche Zertifikate kompromittiert werden. Wenn sich Hacker unrechtmäßige Zertifikate beschaffen, ist es wichtig, dass diese möglichst schnell ausgetauscht werden. Hinzu kommt, dass Unternehmen durch kürzere Laufzeiten dazu gezwungen werden, jährlich ihre Identität zu bestätigen und gegebenenfalls zu aktualisieren. Dazu zählen beispielsweise der Firmenname, Adressen und aktive Domains. So entsteht insgesamt eine sicherere Umgebung für den Nutzer. Auch DigiCert selbst gibt an, dass eine kürzere Laufzeit für einen besseren Schutz im Netz sorgen würde.

Für Seitenbetreiber bedeutet Apples Plan, dass Zertifikate, die nach dem 30. August 2020 ausgestellt werden und eine Laufzeit von mehr als 398 Tage haben, vom Safari-Browser als „nicht sicher“ eingestuft werden. Zertifikate mit längerer Laufzeit, die vorher ausgestellt wurden, sind nicht betroffen. Nach derzeitigem Stand akzeptieren andere Browser auch noch nach dem Stichtag Zertifikate mit der üblichen Gültigkeit von zwei Jahren. Doch angesichts der Tatsache, dass Google schon im vergangenen Jahr eine entsprechende Änderung durchsetzen wollte, werden sich wohl andere Browser-Hersteller Apple anschließen.

Bild (c) skylarvision / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
SAP Security
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001-Zertifikat auf basis vom IT-Grundschutz. BSI-IGZ-0505-2022
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie