Categories: BrowserWorkspace

Streit mit Certificate Authorities: Apple reduziert Gültigkeit von HTTPS-Zertifikaten

Apple hat einen Streit mit Ausstellern von Sicherheitszertifikaten ausgelöst. Im Februar entschied das Unternehmen aus Cupertino im Alleingang, künftig die Gültigkeit von TLS-Zertifikaten für HTTPS-Verbindungen auf 398 Tage zu beschränken. Die Änderung soll ab dem 1. September 2020 gelten – ähnliche Absichten äußerten inzwischen auch Google und Mozilla.

Konkret sollen Geräte und Browser von Apple, Google und Mozilla ab Anfang September eine Fehlermeldung anzeigen, sobald ein neues TLS-Zertifikat länger als 398 Tage gültig ist. Damit brechen alle drei Unternehmen mit einer gängigen Praxis zwischen Browseranbietern und den Certificate Authorities (CAs).

Bisher hatte das CA/B Forum, ein informeller Zusammenschluss der Certificate Authorities, die Regeln für die Ausstellung von TLS-Zertifikaten, die wiederum für die Verschlüsselung von HTTP-Traffic benötigt werden, festgelegt. Das gilt auch für den Umgang von Browsern mit den Zertifikaten sowie deren Gültigkeitsprüfung. Neue Regeln wurden stets zwischen den Browseranbietern und den Certificate Authorities abgesprochen und erst danach verabschiedet und von allen Mitgliedern implementiert.

In den vergangenen 15 Jahren gab es allerdings immer wieder ein Thema, das für Kontroversen sorgte: die Gültigkeitsdauer von Zertifikaten. Anfänglich lag diese bei acht Jahren. Browseranbieter forderten jedoch immer wieder kürzere Zeiträume. Schließlich wurde die Gültigkeit von drei auf zwei Jahre reduziert, womit die CAs die Angelegenheit als erledigt betrachteten.

Doch schon ein Jahr später, im vergangenen Sommer, starteten die Browserhersteller einen neuen Anlauf, diesmal mit dem Ziel, eine Gültigkeit von einem Jahr zu erreichen. Im September 2019 scheiterte schließlich der von Google eingebrachte Vorschlag. Während alle Browseranbieter den kürzeren Zeitraum befürworteten, lehnten ihn 65 Prozent der CAs ab.

Im Februar schließlich brach Apple mit der gängigen Praxis der Absprachen mit dem CA/B Forum und verkündete seine einseitige Entscheidung. Zwei Wochen später schloss sich Mozilla dieser Initiative an und am 10. Juni erklärte auch Google, dem Beispiel Apples zu folgen.

Der Alleingang zeigt aber auch die eigentlichen Machtverhältnisse im HTTPS-Ökosystem auf. Apple, Google, Mozilla und andere Anbieter haben die eigentliche Kontrolle während die CAs eigentlich nur Teilnehmer ohne eigenen Einfluss sind.

Auslöser des Alleingangs der Browserhersteller ist der Umgang von CAs mit TLS-Zertifikaten, die für Malware, Phishing oder andere Cyberverbrechen missbraucht wurden. Eigentlich sollen solche Zertifikate unverzüglich zurückgerufen beziehungsweise für ungültig erklärt werden. In der Praxis zeigte sich jedoch immer wieder, dass solche Zertifikate nicht zeitnah zurückgezogen wurden und zum Teil über Jahre hinweg gültig blieben. Eine kürzere Gültigkeit soll dafür sorgen, dass in solchen Fällen gekaperte Zertifikate zeitnah „von selbst“ unbrauchbar werden.

Ein anderes Problem ist, dass Sicherheitsexperten nicht ausschließen, dass heute aufgezeichneter verschlüsselter Datenverkehr künftig entschlüsselt werden kann. Kürzere Gültigkeitszeiträume für Zertifikate sollen dafür sorgen, dass solche Bemühungen erschwert werden.

Die CAs argumentierten indes, dass kürzere Laufzeiten wahrscheinlich wenig Auswirkungen auf diese Sicherheitsprobleme hätten, unter anderem weil Cyberkriminelle heute auch Zugriff auf kostenlose Zertifikate hätten. Tatsächlich bedeuteten die kürzeren Zeiträume jedoch mehr Aufwand für die CAs.

Für Websitebetreiber bedeutet die einseitige Änderung durch Apple, Google und Mozilla, dass sie ihre TLS-Zertifikate nun bereits nach einem Jahr erneuern müssen. Endverbraucher sollten sich zudem auf mehr HTTPS-Fehlermeldungen in ihren Browsers einstellen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Yippie-Ya-Yay, Schweinebacke!

Bruce Willis per Deepfake: Der Die Hard Star hat seine Persönlichkeitsrechte für einen digitalen Zwilling…

1 Tag ago

Quantum Builder verbreitet Trojaner

Der Remote Access Trojaner (RAT) Agent Tesla wird mittels Spear Phishing über einen im Dark…

1 Tag ago

Red Hat kündigt OpenStack Platform 17 an

Die neue Version der OpenStack Platform 17 unterstützt Service-Provider beim Aufbau umfangreicher, sicherer und moderner…

1 Tag ago

Digitale Souveränität gefordert

Auf dem IONOS Summit in der Messe Karlsruhe ging es um den Cloud-Markt und neue…

1 Tag ago

Google stellt Stadia ein

Google wird seinen Spieledienst Stadia am 18. Januar 2023 abschalten. Die Spieler erhalten ihr Geld…

1 Tag ago

Der Wandel ist die neue Konstante

Mitarbeiter verlassen sich heute auf digitale Tools am Arbeitsplatz, um entspannter zusammenzuarbeiten, aber gleichzeitig sind…

1 Tag ago