Chrome: Google will 90 Tage Laufzeit für TLS-Zertifikate

Das Chromium-Team von Google möchte künftig die maximal gültige Laufzeit von TLS-Server-Zertifikaten auf 90 Tage beschränken. Das geht aus einem aktuellen Wiki-Eintrag zu den Plänen der Entwickler in Bezug auf ihr eigenes Root-CA-Programm hervor. Demnach soll der Vorschlag aber nicht allein in Chrome umgesetzt werden, sondern über das CA/Browser-Forum abgestimmt werden.

Sollte der Vorschlag auf Zustimmung der anderen Browser-Hersteller treffen, könnte dies einige der Zertifizierungsstellen (Certificate Authorities, CAs), die TLS-Zertifikate ausstellen, unter Druck setzen. Eine Verkürzung der Laufzeiten setzten die Browser-Hersteller Mozilla für Firefox und Google für Chrome, sowie Apple für Safari bereits vor rund drei Jahren durch – auf derzeit maximal 398 Tage (13 Monate). Zuvor konnten Zertifikate höchstens 825 Tage gültig sein.

Google begründet den Schritt damit, dass dieser zu einer Automatisierung ermutige und "barocke, zeitaufwändige und fehleranfällige Ausstellungsverfahren" überwunden werden könnten. Ebenso könne damit der Wechsel auf neue Algorithmen der Post-Quantenkryptografie beschleunigt werden. Auch beschreibt das Team die aktuellen Prozesse zum Zurückrufen von Zertifikaten als kaputt, so dass sich darauf nicht verlassen werden kann.

Der Vorschlag des Chrome-Teams ist offenbar von dem Vorgehen der kostenfreien Zertifizierungsstelle Let's Encrypt inspiriert, die bereits seit ihrer Gründung auf recht kurze Zertifikatslaufzeiten von 90 Tagen setzt. Damit die Zertifikate nicht händisch ausgetauscht werden müssen, lässt sich die Erneuerung automatisieren, beispielsweise mit dem ACME-Protokoll von Let's Encrypt. Mit einer Automatisierung sollten auch vergessene Zertifikatswechsel der Vergangenheit angehören.