Durch die Verkürzung der Gültigkeitsdauer sinkt die maximale Zertifikate-Laufzeit auf rund ein Jahr.
Anfangs wurden Zertifikate noch mit einer Laufzeit von bis zu fünf Jahren ausgestellt. 2015 wurde ihre maximale Gültigkeit auf drei, 2018 dann auf zwei Jahre herabgesetzt. Im Februar 2020 kündigte Apple auf dem CA/Browser Forum in Bratislava an, ab dem 1. September 2020 nur noch SSL-Zertifikate mit einer Gültigkeit von einem Jahr zu akzeptieren.Warum wird die Lebensdauer von SSL/TLS-Zertifikaten immer weiter verkürzt?
Dafür gibt es vor allem zwei Gründe:
- Zertifikate mit veralteten Algorithmen, die als unsicher gelten, laufen schneller aus und werden nicht mehr eingesetzt.
- Die Sicherheit für den Nutzer steigt, wenn bereits nach einem Jahr geprüft wird, wer hinter dem Zertifikat steht. Dies beugt Missbrauch vor.
- Cyber-Kriminelle können kompromittierte SSL-Zertifikate für ihre Zwecke missbrauchen. Durch die kürzeren Laufzeiten werden auch kompromittierte Zertifikate schneller aus dem Verkehr gezogen und es bleibt weniger Zeit für kriminelle Aktivitäten.
Je häufiger ein SSL-Zertifikat erneuert werden muss, desto öfter werden Webseiten und Betreiber von der CA (Zertifizierungsstelle) überprüft. Gefälschte Internetseiten werden so schneller erkannt und können gemieden werden.
Eine lange Nutzungsdauer verschafft auch Hackern mehr Möglichkeiten, private Schlüssel zu knacken und Webseiten oder Maschinenidentitäten zu kontrollieren. Wenn Zertifikate schneller ungültig, werden Updates und Änderungen schneller eingespielt. So bleibt weniger Zeit für Angriffe.
Gleichzeitig profitieren Website-Betreiber, wenn sie mit gültigen SSL-/TLS-Zertifikaten Vertrauen in ihre Website aufbauen. Denn erfolgreich geprüfte Seiten werden als vertrauenswürdig eingestuft. So wird das Internet ein Stück sicherer gemacht und die User besser geschützt.
Warum gibt es verschiedene Zertifikatstypen?
Auch der Zertifikatstyp ist ein entscheidender Sicherheitsfaktor. Organisationsvalidierte x.509 SSL-Zertifikate oder solche mit Extended Validation (erweiterter Validierung) (OV-bzw. EV-Zertifikate) gelten als resistenter gegen Cyberangriffe. Dies rührt daher, dass eine vertrauenswürdige Institution (ein sog. Trustcenter) zur Ausstellung dieser Zertifikatstypen die Identität des Webseitenbetreibers gründlich prüft.
Für EV-Zertifikate prüft die CA zusätzliche Angaben. Etwa, ob der Antragsteller tatsächlich Mitarbeiter des Webseitenbetreibers und ob er berechtigt ist, ein Zertifikat zu beantragen.
Es überrascht daher nicht, dass nur ein verschwindend geringer Prozentsatz von gefälschten Webseiten mit einem EV-Zertifikat ausgestattet ist.
Ein Großteil von Phishing-Angriffen erfolgt dagegen über Webseiten, die lediglich über ein domainvalidiertes Zertifikat (DV-Zertifikat) abgesichert sind oder bei denen gar kein Zertifikat hinterliegt.
Warum sinkt dann die Attraktivität von Zertifikaten mit Identitätsprüfung?
Dieser höhere Aufwand wird nun in immer kürzeren Abständen notwendig. Um ihn zu umgehen und damit Kosten zu sparen, könnten Domainbetreiber verleitet werden, vermehrt auf DV-Zertifikate zurückzugreifen. Bei diesen wird nämlich lediglich geprüft, ob der Auftraggeber auch der Domaininhaber ist. Eine Identitätsprüfung erfolgt dagegen nicht.
Leider bedeutet das leichtes Spiel für Cyber-Kriminelle. Sie registrieren Internetadressen, die leicht mit denen großer Shops oder Banken verwechselt werden können. Dafür hinterlegen sie lediglich ein DV-Zertifikat, das in den Usern in diesem Fall Sicherheit nur vorgaukelt.
Identitätsgeprüfte Zertifikate bedeuten also mehr Sicherheit im Netz und in der Online-Kommunikation. Trotz des höheren Verwaltungsaufwands lohnt es sich deshalb, OV- und EV-Zertifikate zu bevorzugen.
Worauf müssen Zertifikatsinhaber aktuell achten?
SSL-/TLS-Zertifikate, die bis August 2020 ausgestellt wurden, können noch bis zwei Jahre gültig und laufen spätestens im September 2022 aus. Digitale Zertifikate, die ab dem 1. September 2020 beantragt wurden, laufen nur noch über ein Jahr und werden also ab Oktober 2021 ungültig. Gerade jetzt in der Übergangsphase ist es daher wichtig, einen genauen Überblick über die im Unternehmen eingesetzten digitalen Zertifikate zu behalten, um keine bösen Überraschungen zu erleben.
Wie lange ein SSL-Zertifikat noch gültig und ob es richtig installiert ist, lässt sich einfach und schnell durch einen kostenlosen SSL Check im Netz feststellen.
Was passiert, wenn ein Zertifikat unbemerkt abläuft?
Läuft ein Website-Zertifikat unbemerkt ab, kann der Browser die Identität der aufgerufenen Webseite nicht prüfen. Eine einwandfreie Verbindung kann nicht mehr sichergestellt werden.
Deshalb wird die Seite von den Browsern geblockt bzw. ein Warnhinweis vorgeschaltet. Viele Besucher werden die Seite nicht mehr aufrufen oder einen Einkaufsvorgang abbrechen. Dadurch kommt es zu Umsatzeinbußen.
Sicherheitswarnungen dieser Art sind gerade für große Unternehmen nicht nur peinlich, sie können auch zu Rufschädigungen führen.
Abgelaufene SSL/TLS-Zertifikate können aber auch im internen Netzwerk verheerende Folgen haben. Oftmals authentifizieren sich in internen Prozessen beispielsweise verschiedene Produktionsmaschinen durch digitale Zertifikate oder es werden Daten verschlüsselt übermittelt. Auch solche Vorgänge basieren auf digitalen Zertifikaten und kommen völlig zum Erliegen, wenn sie unbemerkt ablaufen.
Fazit
Zertifikate mit Organisationsvalidierung oder erweiterter Validierung erhöhen sowohl die Sicherheit im Internet, als auch in der Online-Kommunikation. Dies ist z.B. im Fall von Maschinenidentitäten besonders wichtig.
Um weiterhin hohe Sicherheitsstandards zu garantieren, werden Zertifikatslaufzeiten vermutlich weiterhin verkürzt werden. Gerade, wenn ein Unternehmen mehrere Zertifikate im Einsatz hat, empfiehlt sich die Verwaltung durch ein Zertifikatsmanagement-Tool wie essendi xc.
Mit essendi xc behalten Sie Ihre Zertifikatsbestände einfach und bequem im Überblick. Sie werden rechtzeitig vor dem Ablauf Ihrer digitalen Zertifikate informiert und an die Verlängerung erinnert. Je nach Konfiguration übernimmt essendi xc automatisch auch die Beantragung neuer Zertifikate und sogar deren Installation in das Zielsystem.
