SSL-Zertifikate können sich zum einen in ihrem Sicherheitslevel, zum anderen in ihrer Laufzeitlänge unterscheiden ‒ momentan im Fokus: Zertifikate mit einer Dauer von zwei Jahren. Während diese derzeit noch von allen Webbrowsern als “sicher” eingestuft werden, hebt Apple Safari diese Einschätzung zum 01. September 2020 für sich auf.
Der Browser wird ab September alle SSL-Zertifikate mit einer Laufzeit länger als 398 Tagen (12 Monate Laufzeit + maximale Verlängerung) als “nicht sicher” deklarieren.
“Nicht sicher” – ein Statement, das man als User nicht gerne oben in der Browserleiste lesen möchte. Dies wird aber ab Herbst bei Apple Safari wohl häufiger zu sehen sein. Beim diesjährigen CA/Browser-Forum vom 19. Februar im slowakischen Bratislava, auf dem sich Browserhersteller und Zertifizierungsstellen über Sicherheitsfragen ausgetauscht haben, kündigte Apple an, dass Safari ab dem 1. September 2020 nur noch SSL-Zertifikate mit einer Gültigkeit von 398 Tagen oder weniger vertrauen wird.
Aber keine Sorge: Zertifikate, die vor diesem Datum ausgestellt wurden, sind nicht betroffen und müssen damit auch weder ersetzt, noch geändert werden. Das heißt im Umkehrschluss, dass bis zum 31. August 2020 weiterhin SSL-Zertifikate mit einer Gültigkeit von zwei Jahren ausgestellt und bis zu deren Ablauf verwendet werden können.
Warum verkürzt Apple die Laufzeiten und welche Vorteile ergeben sich daraus?
Je öfter ein SSL-Zertifikat erneuert werden muss, desto häufiger durchläuft der Betreiber einer Website eine Überprüfung durch die CAs. Fake-Seiten können so erkannt und vermindert werden. Das World Wide Web wird sicherer und User sind besser vor gefälschten Seiten geschützt.
Auch Apple gibt als Grund für seine Umstellung den deutlich besseren Schutz der User im World Wide Web an.
Andererseits profitieren auch die Website-Betreiber, indem sie mit gültigen SSL-Zertifikaten ihren Kunden Vertrauen in ihre Website und ihre Marke vermitteln können. Das sorgt für mehr Traffic und am Ende auch für mehr Gewinn.
Welche Auswirkungen bringt die SSL-Laufzeitverkürzung?
Wenn du bereits ein SSL-Zertifikat mit einer längeren Laufzeit besitzt, ist dieses nach wie vor über den 01. September 2020 hinaus gültig und wird auch von Safari weiterhin als sicher eingestuft. Das bedeutet auch, dass ab dem jetzigen Zeitpunkt bis zum 31. August immer noch zweijährige Zertifikate erworben und nach der Deadline darüber hinaus genutzt werden können. Wenn du aber nach diesem Datum ein zweijähriges Zertifikat erwirbst, wird dieses von Safari – bisher als einziger Webbrowser – nicht mehr als “sicher” gekennzeichnet werden.
Was bedeutet diese Änderung für Anbieter von SSL-Zertifikaten?
Anbieter von SSL-Zertifikaten können Kunden Zertifikate mit einer Laufzeit von über 398 Tagen vor der Deadline am 01. September 2020 empfehlen, da diese ihre Gültigkeit behalten. Zwar betrifft die Änderung bisher lediglich Apples Safari, weitere Webbrowser könnten diesen Bestimmungen aber durchaus nachziehen und die Bedingungen für die Laufzeit der Zertifikate entsprechend anpassen.
Werden auch andere Webbrowser nachziehen?
Schon in den vergangenen Jahren änderte sich oftmals die empfohlene Laufzeit von SSL-Zertifikaten. Nach einem Beschluss des CA/Browser Forums können seit März 2018 SSL-Zertifikate eine maximale Länge von zwei Jahren besitzen, ohne dass diese als “unsicher” deklariert werden.
Google brachte im letzten Jahr einen weiteren Vorschlag ins Gespräch, der aber sofort abgelehnt wurde: Die Deckelung der Laufzeit auf ein Jahr. Die Ablehnung des Vorschlags beim CA/Browser-Forum ergab sich aus den Folgen, die eine solche Änderung für Webseiten-Betreiber hätte: Je kürzer die Laufzeit der Zertifikate, desto mehr Kosten und Mühen sind damit verbunden. Längere Zertifikate bedeuten also sehr viel weniger Aufwand.
Dieser Vorstoß von Google könnte als Anregung dafür gesehen werden, dass neben Apples Safari auch weitere Browser hinter dem Vorhaben der Laufzeitverkürzung stehen und gleichziehen könnten. Bis auf Weiteres werden aber lediglich Websites auf Mac, iPhone und iPad – vorausgesetzt der User verwendet Safari – gemäß den Vorgaben des Browsers als “nicht sicher” markiert.
Mit dem SSL-Manager bist du auf der sicheren Seite: Dort kannst du dir Reports einrichten, die dich vor dem Ablauf eines Zertifikats informieren. Anschließend kannst du im neuen AutoDNS rechtzeitig eine Verlängerung starten oder ein neues Zertifikat bestellen. Außerdem ist es mit der Domain-Robot JSON API ganz einfach, eine Automatisierung der Zertifikatsausstellung und -installation umzusetzen.
InterNetX ist eine DigiCert Platinum Elite Certified Partner. Gerne unterstützen wir dich dabei, die passenden Zertifikate zu finden.
