Apple: Safari soll nur noch einjährige TLS-Zertifikate akzeptieren

Apples Browser Safari soll ab 1. September nur noch TLS-Zertifikate mit einer maximalen Gültigkeit von 13 Monaten akzeptieren. Betroffen sind Webseiten wie Github.com oder Microsoft.com, die derzeit auf Zwei-Jahres-Zertifikate setzen.

Artikel veröffentlicht am ,
Ab September müssen jedes Jahr die Zertifikate gewechselt werden.
Ab September müssen jedes Jahr die Zertifikate gewechselt werden. (Bild: Mohamed Hassan/Pixabay)

Appples Browser Safari wird zukünftig keine mehrjährigen TLS-Zertifikate mehr akzeptieren. Dies kündigte Apple auf dem CA/Browser-Forum an, einem Treffen von Browserherstellern und Zertifizierungsstellen (Certification Authority, CA). Demnach akzeptiert Safari ab dem 1. September nur noch TLS-Zertifikate, die höchstens 398 Tage (13 Monate) gültig sind. Betroffen wären beispielsweise Github.com und Microsoft.com, die jeweils Zwei-Jahres-Zertifikate verwenden.

Stellenmarkt
  1. Software- / Webentwickler (w/m/d)
    Technische Hochschule Nürnberg Georg Simon Ohm, Nürnberg
  2. Senior Consultant Servicenow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte (remote möglich)
Detailsuche

Die neue Regelung soll jedoch nur für Zertifikate gelten, die nach dem 1. September 2020 ausgestellt werden. Für alle anderen Zertifikate gilt die bisherige maximale Gültigkeitsdauer von 825 Tagen weiter. Entsprechend müsste beispielsweise Microsoft.com bei dem 2021 anstehenden Zertifikatswechsel auf ein Ein-Jahres-Zertifikat wechseln, sofern die Webseite weiterhin im Safari-Browser angezeigt werden soll. Github.com läuft bereits im Juni 2020 aus und könnte ein weiteres Zwei-Jahres-Zertifikat verwenden.

Laut Dean Coclin, leitender Direktor bei der CA Digicert, hatte Google die zeitliche Beschränkung der TLS-Zertifikate bereits im August 2019 auf dem CA/Browser-Forum vorgeschlagen und folgt damit der Beschränkung auf drei und anschließend auf zwei Jahre, die vor einiger Zeit eingeführt wurde. Ein Apple-Sprecher habe die Umsetzung auf dem Forum mit dem "Schutz der Nutzer" begründet, schreibt Coclin. "Apple möchte eindeutig ein Ökosystem vermeiden, das nicht schnell auf größere zertifikatsbezogene Bedrohungen reagieren kann. Kurzlebige Zertifikate verbessern die Sicherheit, da sie das Expositionsfenster verringern, wenn ein TLS-Zertifikat gefährdet ist", erklärt Coclin.

Die kostenfreie Zertifizierungsstelle Let's Encrypt setzt bereits seit ihrer Gründung auf recht kurze Zertifikatslaufzeiten von 90 Tagen. Damit die Zertifikate nicht händisch ausgetauscht werden müssen, lässt sich die Erneuerung automatisieren, beispielsweise mit dem ACME-Protokoll von Let's Encrypt. Zu einer Automatisierung rät auch Coclin. Mit ihr sollten auch vergessene Zertifikatswechsel der Vergangenheit angehören, wie beispielsweise kürzlich bei Microsoft Teams. Hier hatte ein vergessener Zertifikatswechsel zu einem mehrstündigen Ausfall der Kollaborationssoftware geführt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


highlite86 25. Feb 2020

Naja sobald der Browser den OS spezifischen Zertifikatsspeicher (bei MacOS: Keychain...

tritratrulala 22. Feb 2020

Das ganze Prinzip einer globalen PKI, die sich aus hierarchisch aufgebauten CAs...

ZarkRud 22. Feb 2020

Nur NoSafari ist aktuell

ChrisE 22. Feb 2020

Und wie bekomme ich das TLS-Zertifikat auf meinen IoT-Kühlschrank? Die Plasterouter...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

  2. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  3. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /