Contents

Aktuelle Entwicklungen
Warum werden die Laufzeiten von SSL/TLS-Zertifikaten immer weiter verkürzt?
Herausforderungen und Vorteile für die Nutzer
Was passiert, wenn ein Zertifikat unbemerkt abläuft?
Wie kann ein Zertifikatsmanagementsystem betroffenen Anwendern helfen?
Mehr als nur ein Schloss-Symbol: Warum die Art des Zertifikats zählt
– Warum gibt es verschiedene Zertifikatstypen?
– Worauf müssen Zertifikatsinhaber aktuell achten?
– Auf den Punkt gebracht

 

Aktuelle Entwicklungen:

  • März 2023: Google fordert eine Verkürzung der Gültigkeitsdauer auf 90 Tage
    Google hat im März 2023 vorgeschlagen, die maximale Laufzeit von TLS-Zertifikaten auf 90 Tage zu verkürzen. Ziel ist es, die Sicherheit zu erhöhen und Risiken durch kompromittierte Zertifikate zu minimieren.
  • Oktober 2024: Apple plant eine schrittweise Reduzierung der Laufzeit auf 45 Tage
    Im Oktober 2024 hat Apple einen Vorschlag eingebracht, der eine schrittweise Verkürzung der Zertifikatslaufzeiten vorsieht. Beginnend mit 200 Tagen ab dem 15. März 2026, über 100 Tage ab dem 15. März 2027, soll schließlich ab dem 15. März 2028 eine maximale Laufzeit von 47 Tagen gelten.
  • Januar 2025: Let’s Encrypt plant für bestimmte Anwendungsfälle Zertifikate mit einer Laufzeit von nur 6 Tagen
    Um die Sicherheit weiter zu erhöhen, plant Let’s Encrypt ab Ende 2025 die Einführung von Zertifikaten mit einer Laufzeit von nur sechs Tagen. Diese sind für automatisierte Umgebungen und spezielle Anwendungsfälle gedacht. Zertifikate mit einer Laufzeit von 90 Tagen bleiben weiterhin verfügbar.
  • Januar 2025: Let’s Encrypt stellt Ablaufbenachrichtigungen ein
    Eine weitere aktuelle Entwicklung betrifft die automatische Erinnerung an ablaufende Zertifikate. Let’s Encrypt hat angekündigt, ab Juni 2025 keine Ablaufbenachrichtigungen mehr per E-Mail zu versenden. Unternehmen und IT-Verantwortliche sollten daher sicherstellen, dass sie alternative Mechanismen zur Überwachung von Zertifikatslaufzeiten implementieren – beispielsweise durch Monitoring-Tools oder automatisierte Erneuerungsprozesse.

 

Balkendiagramm. Vier Balken für die Jahre 2020, 2024, 2025 und 2027. Die Balken zeigen die Verkürzung der Laufzeiten von 398 Tagen auf 45 Tage.

 

Warum werden die Laufzeiten von SSL/TLS-Zertifikaten immer weiter verkürzt?

Dafür gibt es vor allem drei Gründe:

    • Die schnellere Eliminierung unsicherer Algorithmen
      Zertifikate mit veralteten Algorithmen, die als unsicher gelten, laufen schneller aus und werden nicht mehr eingesetzt.

 

    • Erhöhte Sicherheit durch häufigere Validierung
      Die Sicherheit für den Nutzer steigt, wenn bereits nach einem Jahr überprüft wird, wer hinter dem Zertifikat steht. Das beugt Missbrauch vor.

 

  • Verringerung des Risikos durch kompromittierte Zertifikate
    Cyberkriminelle können kompromittierte SSL-Zertifikate für ihre Zwecke missbrauchen. Durch kürzere Laufzeiten werden auch kompromittierte Zertifikate schneller aus dem Verkehr gezogen und es bleibt weniger Zeit für kriminelle Aktivitäten.

Je häufiger ein SSL-Zertifikat erneuert werden muss, desto öfter werden Webseiten und Betreiber von der CA (Certificate Authority, Zertifizierungsstelle) überprüft. Gefälschte Internetseiten werden so schneller erkannt und können gemieden werden.
Eine lange Nutzungsdauer verschafft auch Hackern mehr Möglichkeiten, private Schlüssel zu knacken und Webseiten oder Maschinenidentitäten zu kontrollieren. Wenn Zertifikate schneller ungültig werden, werden Updates und Änderungen schneller eingespielt. So bleibt weniger Zeit für Angriffe.
Gleichzeitig profitieren Website-Betreiber, wenn sie mit gültigen SSL-/TLS-Zertifikaten Vertrauen in ihre Website aufbauen. Denn erfolgreich geprüfte Seiten werden als vertrauenswürdig eingestuft. So wird das Internet ein Stück sicherer gemacht und die User besser geschützt.

 

Herausforderungen und Vorteile für die Nutzer

Herausforderungen:

  • Erhöhter Verwaltungsaufwand: Kürzere Laufzeiten erfordern häufigere Erneuerungen, was den administrativen Aufwand erhöht.
  • Automatisierungsbedarf: Manuelle Prozesse stoßen aber bei kurzen Laufzeiten und großen Zertifikatsmengen an ihre Grenzen, so dass automatisierte Zertifikatsmanagementsysteme unverzichtbar werden.
  • Sinkende Attraktivität von OV/EV-Zertifikaten: OV- (Organization Validation) und EV-Zertifikate (Extended Validation) erfordern bei jeder Erneuerung eine detaillierte Identitätsprüfung. Da kürzere Laufzeiten diesen Prozess häufiger erforderlich machen, könnte der Einsatz solcher Zertifikate weniger praktikabel werden, wenn Unternehmen nicht auf effiziente Automatisierung setzen.
  • Anforderungen an die Kompatibilität: Systeme, die noch nicht für die regelmäßige Erneuerung von Zertifikaten vorbereitet sind, müssen angepasst werden, um einen reibungslosen Ablauf zu gewährleisten.
  • Rechtzeitige Planung erforderlich: Unternehmen müssen sich auf häufigere Zertifikatserneuerungen und neue technische Anforderungen einstellen. Eine vorausschauende Planung ist entscheidend, um Ausfälle und Sicherheitslücken zu vermeiden.

Vorteile:

  • Erhöhte Sicherheit: Kompromittierte Zertifikate haben eine kürzere Lebensdauer, wodurch das Risiko des Missbrauchs sinkt.
  • Aktualität von Verschlüsselungsstandards: Häufigere Erneuerungen stellen sicher, dass stets aktuelle und sichere Verschlüsselungsalgorithmen verwendet werden.
  • Mehr Kontrolle über die eigene Zertifikatsinfrastruktur: Unternehmen, die sich frühzeitig mit automatisierten Zertifikatsprozessen beschäftigen, können ihre IT-Sicherheit und Compliance stärken.

 

Eine Warnmeldung auf einem MonitorWas passiert, wenn ein Zertifikat unbemerkt abläuft?

Läuft ein Website-Zertifikat unbemerkt ab, kann der Browser die Identität der aufgerufenen Webseite nicht prüfen. Eine einwandfreie Verbindung kann nicht mehr sichergestellt werden.
Deshalb wird die Seite von den Browsern geblockt bzw. ein Warnhinweis vorgeschaltet. Viele Besucher werden die Seite nicht mehr aufrufen oder einen Einkaufsvorgang abbrechen. Dadurch kommt es zu Umsatzeinbußen.
Sicherheitswarnungen dieser Art sind gerade für große Unternehmen nicht nur peinlich, sie können auch zu Rufschädigungen führen.
Abgelaufene SSL/TLS-Zertifikate können aber auch im internen Netzwerk verheerende Folgen haben. Oftmals authentifizieren sich in internen Prozessen beispielsweise verschiedene Produktionsmaschinen durch digitale Zertifikate oder es werden Daten verschlüsselt übermittelt. Auch solche Vorgänge basieren auf digitalen Zertifikaten und kommen völlig zum Erliegen, wenn sie unbemerkt ablaufen.

 

Wie kann ein Zertifikatsmanagementsystem betroffenen Anwendern helfen?

Ein effizientes Zertifikatsmanagementsystem wie essendi xc unterstützt die Anwender dabei, den gestiegenen Anforderungen durch verkürzte Zertifikatslaufzeiten gerecht zu werden.

  • Automatisierte Erneuerung: Das System erneuert Zertifikate automatisch und rechtzeitig, wodurch menschliche Fehler minimiert werden.
  • Zentrale Verwaltung: Alle Zertifikate werden an einer Stelle verwaltet, was eine bessere Übersicht und Kontrolle ermöglicht.
  • Benachrichtigungen und Alarme: Benutzer werden rechtzeitig über anstehende Erneuerungen oder Probleme informiert, so dass proaktive Maßnahmen ergriffen werden können.
  • Gewährleistung von Compliance: Das System unterstützt die Einhaltung von Compliance-Anforderungen, indem es die neuesten Sicherheitsstandards und -protokolle unterstützt.

Angesichts immer kürzerer Zertifikatslaufzeiten wird ein zuverlässiges Zertifikatsmanagement immer wichtiger. Mit essendi xc automatisieren Sie Ihr Zertifikatsmanagement, minimieren Risiken und stellen sicher, dass Ihre digitalen Identitäten jederzeit geschützt sind.

Informieren Sie sich jetzt und heben Sie Ihre IT-Sicherheit auf das nächste Level!

 

Mehr als nur ein Schloss-Symbol: Warum die Art des Zertifikats zählt

Warum gibt es verschiedene Zertifikatstypen?

Auch der Zertifikatstyp ist ein entscheidender Sicherheitsfaktor. Organisationsvalidierte x.509 SSL-Zertifikate oder solche mit Extended Validation (erweiterter Validierung) (OV-bzw. EV-Zertifikate) gelten als resistenter gegen Cyberangriffe. Dies rührt daher, dass eine vertrauenswürdige Institution (ein sog. Trustcenter) zur Ausstellung dieser Zertifikatstypen die Identität des Webseitenbetreibers gründlich prüft.
Für EV-Zertifikate prüft die CA zusätzliche Angaben. Etwa, ob der Antragsteller tatsächlich Mitarbeiter des Webseitenbetreibers und ob er berechtigt ist, ein Zertifikat zu beantragen.
Es überrascht daher nicht, dass nur ein verschwindend geringer Prozentsatz von gefälschten Webseiten mit einem EV-Zertifikat ausgestattet ist.
Ein Großteil von Phishing-Angriffen erfolgt dagegen über Webseiten, die lediglich über ein domainvalidiertes Zertifikat (DV-Zertifikat) abgesichert sind oder bei denen gar kein Zertifikat hinterliegt.

 

Warum sinkt dann die Attraktivität von Zertifikaten mit Identitätsprüfung?

Dieser höhere Aufwand wird nun in immer kürzeren Abständen notwendig. Um ihn zu umgehen und damit Kosten zu sparen, könnten Domainbetreiber verleitet werden, vermehrt auf DV-Zertifikate zurückzugreifen. Bei diesen wird nämlich lediglich geprüft, ob der Auftraggeber auch der Domaininhaber ist. Eine Identitätsprüfung erfolgt dagegen nicht.
Leider bedeutet das leichtes Spiel für Cyber-Kriminelle. Sie registrieren Internetadressen, die leicht mit denen großer Shops oder Banken verwechselt werden können. Dafür hinterlegen sie lediglich ein DV-Zertifikat, das in den Usern in diesem Fall Sicherheit nur vorgaukelt.
Identitätsgeprüfte Zertifikate bedeuten also mehr Sicherheit im Netz und in der Online-Kommunikation. Trotz des höheren Verwaltungsaufwands lohnt es sich deshalb, OV- und EV-Zertifikate zu bevorzugen.

 

Worauf müssen Zertifikatsinhaber aktuell achten?

SSL-/TLS-Zertifikate, die bis August 2020 ausgestellt wurden, können noch bis zwei Jahre gültig und laufen spätestens im September 2022 aus. Digitale Zertifikate, die ab dem 1. September 2020 beantragt wurden, laufen nur noch über ein Jahr und werden also ab Oktober 2021 ungültig. Gerade jetzt in der Übergangsphase ist es daher wichtig, einen genauen Überblick über die im Unternehmen eingesetzten digitalen Zertifikate zu behalten, um keine bösen Überraschungen zu erleben.
Wie lange ein SSL-Zertifikat noch gültig und ob es richtig installiert ist, lässt sich einfach und schnell durch einen kostenlosen SSL Check im Netz feststellen.

Auf den Punkt gebracht

Zertifikate mit Organisationsvalidierung oder erweiterter Validierung erhöhen sowohl die Sicherheit im Internet, als auch in der Online-Kommunikation. Dies ist z.B. im Fall von Maschinenidentitäten besonders wichtig.
Um weiterhin hohe Sicherheitsstandards zu garantieren, werden Zertifikatslaufzeiten vermutlich weiterhin verkürzt werden. Gerade, wenn ein Unternehmen mehrere Zertifikate im Einsatz hat, empfiehlt sich die Verwaltung durch ein Zertifikatsmanagement-Tool wie essendi xc.
Mit essendi xc behalten Sie Ihre Zertifikatsbestände einfach und bequem im Überblick. Sie werden rechtzeitig vor dem Ablauf Ihrer digitalen Zertifikate informiert und an die Verlängerung erinnert. Je nach Konfiguration übernimmt essendi xc automatisch auch die Beantragung neuer Zertifikate und sogar deren Installation in das Zielsystem.