Apple veröffentlicht Wahlvorschlag zur Verkürzung der Lebensdauer von Zertifikaten auf 45 Tage
Anfang dieser Woche, am 9. Oktober, am zweiten Tag des Herbst-Face-to-Face-Treffens des CA/Browser-Forums, gab Apple bekannt, dass es einen Entwurf für eine Abstimmung zur Kommentierung auf GitHub veröffentlicht hat. Dieser von Sectigo unterstützte Vorschlag sieht vor, die maximale Laufzeit für öffentliche SSL/TLS-Zertifikate schrittweise auf 45 Tage bis zum Jahr 2027 zu verkürzen. Der Entwurf sieht auch eine schrittweise Verkürzung der Wiederverwendungsdauer von digitalen Zertifikaten vor, bis sie im Jahr 2027 10 Tage erreicht.
Inhaltsverzeichnis
Ein sich beschleunigender Trend zur Verkürzung der Lebensdauer digitaler Zertifikate
Dieser Schritt von Apple folgt auf die Ankündigung von Google in seiner Roadmap „Moving Forward, Together“, die maximale Gültigkeit für öffentliche SSL/TLS-Zertifikate von 398 Tagen auf 90 Tage zu reduzieren, und zwar im Rahmen einer zukünftigen Richtlinienaktualisierung oder eines Wahlvorschlags des CA/B-Forums.
An dieser Stelle ist es wichtig zu wissen, dass es sich lediglich um einen Vorschlag handelt, der noch diskutiert werden muss. Es ist jedoch eine klare Botschaft an die Branche, da sich die beiden größten Browser – Google und jetzt auch Apple – für eine kürzere Lebensdauer digitaler Zertifikate einsetzen.
Wenn diese Abstimmung offiziell durchgeführt wird und in den kommenden Monaten angenommen wird, könnte die Realität für Unternehmen, die ihre öffentlichen SSL/TLS-Zertifikate erneuern, wie folgt aussehen:
Diagramm der erwarteten Lebensdauer von Zertifikaten
Warum sind diese Zahlen so, wie sie sind?
Die von Apple vorgeschlagene Lebensdauer öffentlicher Zertifikate mag auf den ersten Blick komplex erscheinen, folgt aber einer einfachen Logik: ideale Laufzeit des Zertifikats + frühes Verlängerungsfenster:
- 200 Tage = 180 Tage (6 Monate) + 20 Tage vorzeitige Verlängerung
- 100 Tage = 90 Tage (3 Monate) + 10 Tage vorzeitige Erneuerung
- 45 Tage = 42 Tage (6 Wochen) + 3 Tage vorzeitige Erneuerung
Obwohl dies logisch ist, wird die schrittweise Verkürzung der Lebensdauer von Zertifikaten vielbeschäftigten IT-Sicherheitsteams, die mit vielen Zertifikaten jonglieren müssen, die zu unterschiedlichen Zeiten ablaufen, zweifellos Kopfschmerzen bereiten. Es ist leicht vorherzusagen, dass Unternehmen, die manuelle Methoden zur Verfolgung und Überwachung des Auslaufens von Zertifikaten verwenden, bald von den sich schnell ändernden Lebensdauern von Zertifikaten überfordert sein werden. Schließlich schlägt Apple vor, dass sich die Lebenszyklen von Zertifikaten jetzt jedes Jahr ändern!
Zusätzlich zur Verkürzung der maximalen Laufzeit von Zertifikaten wird auch die Wiederverwendungsdauer von DCV wie folgt verkürzt, wenn der Vorschlag angenommen wird:
Datum | Maximale Laufzeit des Zertifikats | DCV-Wiederverwendungsdauer |
9/15/25 | 200 Tage | 200 Tage |
9/15/26 | 100 Tage | 100 Tage |
4/15/27 | 45 Tage | 45 Tage |
9/15/27 | -- | 10 Tage |
Es ist an der Zeit, das Management des Lebenszyklus von Zertifikaten zu automatisieren
Dieser Vorschlag unterstreicht, wie wichtig es für Unternehmen jeder Größe ist, ein vollautomatisches Management des Lebenszyklus von Zertifikaten (Certificate Lifecycle Management, CLM) ernsthaft in Betracht zu ziehen und umzusetzen. Für Unternehmen ist es dringend erforderlich, bei der Erneuerung von Zertifikaten einen „Set-it-and-forget-it“-Ansatz zu verfolgen, damit sich zukünftige Änderungen der Erneuerungsfenster nicht auf ihren Betrieb auswirken oder unnötige Ausfallzeiten und Ausfälle verursachen.
Sectigo unterstützt diese Initiativen von den Browsern aus voll und ganz. Unsere Entscheidung, diesen jüngsten Wahlvorschlag zu sponsern, ist ein Beweis für unser Engagement für die Integrität des WebPKI-Ökosystems und die Sicherheit unserer Kunden. Sectigo Certificate Manager (SCM) ist die umfassendste Plattform für das Management des Lebenszyklus von Zertifikaten auf dem Markt, die darauf ausgelegt ist, die SSL-Herausforderungen von morgen proaktiv anzugehen. Vereinbaren Sie noch heute eine Demo, um zu erfahren, wie Ihr Unternehmen von SCM profitieren kann, oder starten Sie eine kostenlose Testversion.
Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!
Verwandte Beiträge:
Der sich entwickelnde Lebenszyklus von SSL/TLS-Zertifikaten und wie man mit den Änderungen umgeht
Wie erneuert man SSL-Zertifikate und wie automatisiert man den Vorgang?
Warum SSL-Zertifikate ablaufen: Erkundung der Vorteile kürzerer Gültigkeitszeiträume