Google möchte die Laufzeit digitaler Zertifikate von Websites auf 90 Tage verkürzen. Diese Änderung wirkt sich auf alle Unternehmen aus, die ihre Kommunikation mit digitalen Zertifikaten sichern. Schon mehrmals wurde für SSL-Zertifikate die maximale Gültigkeit herabgesetzt. Zuletzt im September 2020 von zwei Jahren auf 13 Monate. Nun möchte Google die Laufzeit nochmals drastisch reduzieren. Dafür gibt das Chrome-Team in einem Artikel auf dem Blog Chromium Project verschiedene Gründe an. Die wichtigsten möchten wir im Folgenden beleuchten.
Höchste Zeit zur Automatisierung: Durch die Laufzeitverkürzung digitaler Zertifikate auf 90 Tage ist die Zertifikatsverwaltung manuell nicht mehr zu stemmen.
Wozu dienen SSL/TLS-Zertifikate?
SSL/TLS-Zertifikate spielen eine wichtige Rolle bei der Gewährleistung von Sicherheit und Privatsphäre im Web. Sie ermöglichen eine verschlüsselte Verbindung zwischen einem Benutzer und einer Website. Dadurch sind sensible Informationen wie Passwörter, Kreditkarteninformationen und persönliche Daten vor unerlaubtem Zugriff geschützt. Sie können nicht von Dritten abgefangen oder manipuliert werden.
Allerdings können auch Zertifikate fehlerbehaftet sein, gestohlen oder gefälscht werden. Cyber-Kriminelle können damit z.B. gefälschte Webseiten erstellen. Ihr Ziel ist es, Nutzer auf eine dieser gefälschten Websites zu locken. Dort stehlen sie dessen persönliche Daten oder installieren Malware auf seinem Computer.
Welche Verbesserungen erhofft sich das Chromium-Team?
Förderung von modernen Infrastrukturen und Agilität
Die Förderung von modernen Infrastrukturen und Agilität ist das erstgenannte und wahrscheinlich wichtigste Ziel. Die Verkürzung der Laufzeit soll “das Ökosystem von barocken, zeitaufwändigen und fehleranfälligen Ausstellungsprozessen wegbringen”.
Kürzere Zertifikatsgültigkeiten ermöglichen, dass neue Sicherheitsfunktionen schneller übernommen werden. Damit wird die Flexibilität erreicht, die erforderlich ist, um das Zertifikats-Ökosystem schnell auf quantenresistente Algorithmen umzustellen.
Mit der wachsenden Bedeutung des Internets werden Zertifikate immer wichtiger. Sie sind entscheidend, wenn es um die Gewährleistung von Sicherheit und Vertrauen in der digitalen Kommunikation geht. Ihr Missbrauch kann schwerwiegende Konsequenzen haben.
Lange Laufzeiten und die wachsende Anzahl von digitalen Zertifikaten bieten Hackern immer mehr Möglichkeiten für Missbrauch.
Es gibt zwei Möglichkeiten, ein SSL-Zertifikat auf Gültigkeit zu prüfen. Man kann es in einer Zertifikatssperrliste (certificate revocation list, CRL) oder über das Online Certificate Status Protocol (OCSP) kontrollieren. Aber weder CRL noch OCSP sind zu 100% zuverlässig. Eine verkürzte technische Gültigkeit verringert die Abhängigkeit von den Abfrageergebnissen.
Das wichtigste Ziel der Laufzeitverkürzung von digitalen Zertifikaten ist also, die Sicherheit von Webseiten und Online-Transaktionen zu erhöhen. Denn eine unentdeckte Schwachstelle besteht über die gesamte Gültigkeitsdauer eines Zertifikats. Durch eine verkürzte Laufzeit werden Schwachstellen schneller behoben.
Spezialisierung der CAs
Zertifizierungsstellen sollen sich in Zukunft auf bestimmte Zertifikatstypen spezialisieren. Bisher können CAs verschiedene Zertifikatstypen ausstellen. Die Spezialisierung macht sie für Cyber-Kriminelle zu einem weniger attraktiven Ziel. Eine CA, die verschiedene Typen anbietet, ist ein sehr viel lukrativeres Angriffsziel.
Förderung der Automatisierung
Einen großen Vorteil sieht das Chrome-Team in der Automatisierung, die durch die verkürzte Laufzeit notwendig wird. Zertifikatsverwaltungstools wie essendi xc unterstützen, wenn man eine große Anzahl an SSL Zertifikaten erneuern möchte. Sie minimieren die Fehlerquellen, die beim manuellen Zertifikatsantrag bestehen. Zudem erleichtern sie den schnellen Umstieg auf quantenresistente Verschlüsselung.
Automatisierte Zertifikatsverwaltung rückt stärker in den Fokus.
Die Auswirkungen betreffen zum einen die Browserhersteller und Zertifizierungsstellen. Sie müssen sich auf die neue Situation und einen massiven Anstieg an Zertifikatsanträgen einstellen.
Aber auch zahlreiche Unternehmen müssen sehr viel häufiger abgelaufene Zertifikate erneuern. Läuft die Zertifikatsverwaltung nicht automatisiert ab, zieht das einen hohen Arbeitsaufwand nach sich:
Unternehmen müssen das technische Ablaufdatum überwachen, gültige SSL-Zertifikate erstellen und in den eigenen Systemen bereitstellen. Meist sind viele Zertifikate im Einsatz und ihre Anzahl wächst stetig. Wenn sich der jährliche Aufwand für die Zertifikatsverwaltung nun vervierfacht, ist sie manuell nicht mehr zu bewältigen.
Mit essendi xc bieten wir ein Zertifikatsmanagement-Tool, das Sie dabei effektiv unterstützt. Er automatisiert die Abläufe vom Zertifikatsantrag bis zur Ausbringung in die Zielsysteme. Einmal eingerichtet, laufen alle Prozesse von alleine ab.
Durch individuell konfigurierbare Voreinstellungen können Zertifikate nach gezielt festgelegten Kriterien beantragt werden. Eine Spezialisierung der Zertifizierungsstellen ist mit dem multi-CA-fähigen essendi xc also problemlos umsetzbar. Er kann Zertifikate bei verschiedenen Zertifizierungsstellen beziehen. Jedem Zertifikatstyp kann dabei eine spezielle CA zugeordnet werden.
Gerne demonstrieren wir Ihnen unser Tool in einer Live-Demo.
Die Verkürzung der Lebensdauer von digitalen Zertifikaten auf 90 Tage ist noch nicht endgültig beschlossen. Es handelt sich um einen Vorschlag des Chrome-Teams, der noch im CA/Browser-Forum diskutiert werden muss. Mit einer Entscheidung wird im Frühjahr 2023 gerechnet. Durch den hohen Marktanteil des Chrome-Browsers könnte Google die Änderungen theoretisch sogar ohne Zustimmung des Forums zum Standard erheben.
Wir halten Sie weiterhin informiert.