SSL/TLS Zertifikate, die von vertrauenswürdigen öffentlichen oder privaten Zertifizierungsstellen (CAs) ausgestellt wurden, werden zur Authentifizierung einer einzelnen Domäne in öffentlich zugänglichen Websites verwendet. Organisationen mit einer Handvoll öffentlicher Domains und Subdomains müssten die gleiche Anzahl von digitalen Zertifikaten ausstellen und verwalten, was die Komplexität des Zertifikatslebenszyklusmanagements erhöht. Die gute Nachricht ist, dass es eine Lösung gibt, um diese Belastung zu umgehen.
Wildcard-Zertifikate versprechen Einfachheit, aber sind sie die Lösung für all unsere Gebete?
TLS Zertifikate dienen vielen Zwecken. In erster Linie ermöglichen sie verschlüsselte Sitzungen zwischen Kunden und Websites und beweisen, dass es sich bei der Website nicht um einen böswilligen Eindringling handelt. Eine gute Sicherheitspraxis besteht darin, die Schlüsselpaare regelmäßig zu erneuern, was immer dann geschehen sollte, wenn Sie ein neues Zertifikat erhalten.
Seit 2005 legt das CA/B-Forum die Regeln fest, nach denen TLS Zertifikate ausgestellt, verwaltet und validiert werden sollen. Diese freiwillige Organisation setzt sich aus zwei Gruppen zusammen:
- Zertifizierungsstellen (CAs) - wie IdenTrust, DigiCert und GoDaddy;
- Browser-Entwickler - wie Google, Apple, Microsoft und Mozilla.
Browser und CAs diskutieren und stimmen in der Regel über Regelvorschläge ab, bis sie eine mehrheitliche Einigung erzielen, und dann wenden alle Mitglieder die endgültige Regel an.
Trotz einer Entscheidung des CA/B-Forums, die Lebensdauer von Zertifikaten nicht auf ein Jahr zu begrenzen, Apple im Februar einseitig beschlossen, die Lebensdauer der akzeptierten Zertifikate von TLS ab dem 1. September auf nur 398 Tage zu begrenzen.
Google und Mozilla schließen sich der Entscheidung von Apple an
Chrome schließt sich Apple an und begrenzt ab dem 1. September die Dauer öffentlicher TLS Zertifikate auf 398 Tage.
- Dekan Coclin (@chosensecurity) Juni 10, 2020
Es sieht so aus, als hätten die Browser diese Runde gewonnen. Am 9. Juli 2020 veröffentlichte der Mozilla Security Blog, dass auch die Lebensdauer von TLS Zertifikaten auf 398 Tage reduziert wird. Somit werden Mozilla, Google und Apple ab dem 1. September 2020 neu ausgestellten Zertifikaten mit einer Gültigkeitsdauer von mehr als 398 Tagen nicht mehr vertrauen.
Nun steht Microsoft im Rampenlicht und wird voraussichtlich bald über die Angelegenheit entscheiden. Bedenken Sie jedoch, dass Microsoft Edge Chromium als Browser-Engine verwendet.
Die großen Anbieter öffentlicher Zertifizierungsstellen haben sich jedoch schnell darauf eingestellt und bieten keine zweijährigen öffentlichen TLS Zertifikate mehr an. Schließlich haben sie keine andere Wahl, da die große Mehrheit der Internetnutzer die Browser Chrome und Safari verwendet.
Mozilla hat die Überzeugung geäußert, dass diese Änderung für die Aufrechterhaltung eines sicheren Webs von entscheidender Bedeutung ist, da sie:
- Fördert die Agilität der Kryptoindustrie, da anfällige Zertifikate automatisch in kürzerer Zeit auslaufen.
- Begrenzt die Anfälligkeit einer Website für Eindringlinge, da die privaten Verschlüsselungsschlüssel in regelmäßigen Abständen aktualisiert werden müssen.
- Bei gestohlenen TLS -Zertifikaten wäre die Zeitspanne, die ein Bedrohungsakteur nutzen kann, durch eine einjährige Gültigkeit begrenzt.
- Verhindert, dass Hosting-Anbieter oder Dritte Zertifikate weiter verwenden, auch wenn ein Webdienst den Anbieter gewechselt hat oder das Zertifikat nicht mehr aktiv nutzt.
Es stimmt, ein kompromittierter Schlüssel könnte es einem Angreifer ermöglichen, sichere Kommunikation abzufangen und/oder sich als eine Website auszugeben, bis das Zertifikat TLS abläuft. Allerdings vergessen Zertifikatnehmer häufig, wie oder wann sie Zertifikate ersetzen, was zu Ausfällen von Diensten aufgrund eines unerwarteten Ablaufs führt.
Dies soll zwar die Sicherheit für alle erhöhen, aber wenn Ihr interner Verwaltungsprozess die Automatisierung von Zertifikaten nicht nutzt, kann Ihr Unternehmen tatsächlich weniger sicher und anfälliger für Ausfälle werden. Wenn Sie immer noch manuelle Prozesse (z. B. Tabellenkalkulationen) für die Verwaltung dieser Zertifikate verwenden, hat sich Ihre Arbeitslast praktisch über Nacht verdoppelt. Diese erhöhte Arbeitsbelastung schafft auch mehr Möglichkeiten für eine Fehlkonfiguration dieser Zertifikate.
Abgelaufene Zertifikate sind ein massives Problem
Sie kosten Unternehmen jedes Jahr Millionen von Dollar aufgrund von Ausfällen. Hinzu kommt, dass häufigere Warnungen vor abgelaufenen Zertifikaten dazu führen können, dass Web-Besucher die Fehlermeldungen immer leichter umgehen.
Außerdem wird die erhebliche Verkürzung der Gültigkeitsdauer zu einer häufigeren Ausstellung von Zertifikaten führen. Dies wird zu einem erheblichen Anstieg der Jahresgebühren für Zertifikatsnutzer führen, da den Unternehmen höhere Kosten für die Aufrechterhaltung der Zertifikate entstehen (insbesondere bei OV- und EV-Zertifikaten).
Dies sind vor allem die langfristigen Auswirkungen, die diese Änderung mit sich bringen wird, aber CA, Website-Besitzer und sogar Endnutzer könnten unmittelbar nach der Änderung am 1. September betroffen sein.
Für Endnutzer
Das bedeutet, dass einige Websites und Anwendungen bei Apple-, Google- und Mozilla-Anwendungen möglicherweise nicht mehr wie erwartet funktionieren, wenn die Unternehmen, die dahinter stehen, nicht auf die häufigere Erneuerung der Zertifikate vorbereitet sind, um ihre Dienste am Laufen zu halten.
Für Unternehmen
In Zukunft wird Ihr CA-Anbieter keine zweijährigen öffentlichen TLS Zertifikate mehr anbieten. Wenn Sie sich nicht auf kürzere Lebenszyklen von Zertifikaten vorbereiten, werden Ihre Webbesucher eine Fehlermeldung erhalten, was sich unmittelbar auf Ihre Marke und Ihren Umsatz auswirkt.
Mozilla Firefox - Meldung einer unsicheren Website
Google Chrome - Meldung einer unsicheren Website
Apple Safari - Meldung einer unsicheren Website
Müssen wir unsere bestehenden zweijährigen TLS Zertifikate durch einjährige Zertifikate ersetzen?
Diese Änderung gilt nur für neue TLS Zertifikate, die am oder nach dem 1. September 2020 ausgestellt werden. Zuvor ausgestellte Zertifikate mit einer Gültigkeitsdauer von zwei Jahren sind davon nicht betroffen, und Sie können sie bis zu ihrem ursprünglichen Ablaufdatum weiter verwenden. Zertifikate, die nach dem 1. September 2020 ausgestellt werden, sind jedoch nur noch maximal ein Jahr lang gültig.
Was bedeutet das für die Betreiber der Website TLS ?
Dies wird zu einem erhöhten Verwaltungsaufwand führen, da die Website-Administratoren die Erneuerungsdaten genauer im Auge behalten müssen, da die Zertifikate häufiger ablaufen werden. Für Unternehmen, die zahlreiche Websites hosten, kann dies ein großes Problem darstellen, bis automatisierte Verfahren eingeführt oder geändert werden.
Einige gute Nachrichten
Sie können weiterhin mehrjährige Abonnements kaufen. Kommerzielle Zertifizierungsstellen (CAs) bieten solche Pläne an, damit ihre Kunden auch nach den Änderungen vom 1. September von den mehrjährigen Rabatten profitieren können. Grundsätzlich gilt: Je mehr Jahre man abschließt, desto höher ist der Rabatt pro Jahr. Auf diese Weise können Sie langfristig Kosten für Zertifikate einsparen; allerdings müssen Sie Ihre Zertifikate weiterhin jedes Jahr neu ausstellen, bevor sie auslaufen.