Zum 1. März 2018 wird es hinsichtlich der Laufzeiten von SSL-Zertifikaten eine Änderung geben:
Drei-Jahreszertifikate werden eingestellt. Dieser Beschluss ging aus einer
Abstimmung des CA/Browser-Forums mit 24 Ja-Stimmen, keiner Nein-Stimme und 3 Enthaltungen hervor. Bereits heute sollte vom Erwerb dieser Zertifikate abgesehen werden.
Beschränkung der Laufzeit auf maximal 825 Tage
Vor zwei Jahren konnten User noch SSL-Zertifikate mit einer vierjährigen Laufzeit erwerben. Am 1. März 2015 erging jedoch der Beschluss, dass Vier-Jahreszertifikate vom Markt genommen werden und fortan lediglich Ein-, Zwei- oder Drei-Jahreszertifikate erworben werden können. Nun werden auch die Drei-Jahreszertifikate eingestellt. Die Laufzeit eines SSL-Zertifikats beträgt nach dem 1. März 2018 maximal 825 Tage. Die Zahl kommt durch die Option der Mitnahme einer dreimonatigen Restlaufzeit sowie aufgrund der Gewährung einer dreitägigen Übergangsfrist zustande. Eine Beispielrechnung macht dies anschaulich: 365 Tage für das erste Jahr + 365 Tage für das zweite Jahr + 31 Tage für den ersten Monat der Restlaufzeit + 30 Tage für den zweiten Monat der Restlaufzeit + 31 Tage für den dritten Monat der Restlaufzeit + 3 Tage Übergangsfrist = 825 Tage. Mittelfristig ist davon auszugehen, dass auch SSL-Zertifikate mit einer zweijährigen Laufzeit aus den Portfolios genommen werden und die Laufzeit eines SSL-Zertifikats von einem Jahr standardisiert werden wird.
Die Gefahr des Laufzeitverlusts
Einige Anbieter haben ihr Portfolio bereits angepasst und SSL-Zertifikate mit einer dreijährigen Laufzeit aus ihrer Produktpalette entfernt. Andere hingegen bieten diese Zertifikate nach wie vor an. Nichtsdestotrotz ist es nicht empfehlenswert, ein Zertifikat mit einer dreijährigen Laufzeit zu erwerben. Sollte das SSL-Zertifikat erneuert werden, so können ärgerliche Laufzeitverluste entstehen. 2014 erforderte beispielsweise der sogenannte Heartbleed-Bug die Erneuerung beinahe aller SSL-Zertifikate. Tritt ein ähnlicher Fall nun nach dem Stichtag im März des nächsten Jahres ein, so wird die Laufzeit bei 825 Tagen abgeriegelt, obgleich eine längere Restlaufzeit bestünde. Ein Beispiel lässt die Problematik deutlich werden: Ein am 28. Februar 2018 ausgestelltes Zertifikat mit einer Laufzeit von drei Jahren muss am 1. März erneuert werden. Das neue Zertifikat hätte eigentlich noch eine Restlaufzeit von 1.094 Tagen. Aufgrund der Regelung, dass nach dem 01. März 2018 nur noch Zertifikate mit einer maximalen Laufzeit von 825 Tagen herausgegeben werden dürfen, verfallen 296 Tage. Zudem ist zu bedenken, dass nicht der Zeitpunkt der Beantragung, sondern der Zeitpunkt der Zertifikatsausstellung hinsichtlich der Laufzeit entscheidend ist. Demzufolge muss beim Erwerb eines SSL-Zertifikats einkalkuliert werden, dass die manuellen Validierungsverfahren einige Zeit in Anspruch nehmen. Da die Zertifikatsausstellung in manchen Fällen bis zu einem Monat dauern kann, ist ein Drei-Jahreszertifikat bereits zum jetzigen Zeitpunkt zeitlich kritisch.
Gründe für die Kürzung der Zertifikatslaufzeiten
Die Beschränkung der SSL-Zertifikate auf immer kürzere Laufzeiten hat im Wesentlichen zwei Gründe: Zum einen erhofft man sich durch kürzere Laufzeiten, dass veraltete Verschlüsselungsstandards schneller vom Markt verschwinden und das Netz dadurch sicherer wird, zum anderen soll den Zertifizierungsstellen so die Möglichkeit gegeben werden, flexibler auf Sicherheitslücken reagieren zu können und entsprechend schneller die SSL-Zertifikate dahingehend optimieren zu können.
Find out here which SSL certificate is right for you.
