IT-Karriere:
Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Nach Safari: Chrome und Firefox wollen nur noch einjährige Zertifikate

Google und Mozilla folgen einer Ankündigung von Apple und wollen zukünftig keine mehrjährigen TLS-Zertifikate akzeptieren.

Artikel veröffentlicht am 29. Juni 2020, 10:40 Uhr, Moritz Tremmel

Ab 1. September müssen jedes Jahr die Zertifikate gewechselt werden. (Bild: Estée Janssens/Unsplash)

Mozillas Firefox und Googles Chrome werden zukünftig keine mehrjährigen TLS-Zertifikate mehr akzeptieren. Sie schließen sich damit einer Ankündigung von Apple vom Februar an, wonach Apples Browser Safari ab 1. September nur noch Zertifikate mit einer Laufzeit von höchstens 398 Tagen (13 Monate) akzeptiert. Betroffen wären beispielsweise Github.com und Microsoft.com, die jeweils Zwei-Jahres-Zertifikate verwenden. Beim nächsten Zertifikatswechsel müssen diese auf Ein-Jahres-Zertifikate wechseln.

Stellenmarkt

Landkreis Potsdam-Mittelmark, Teltow
slashwhy GmbH & Co. KG, Osnabrück

Mit der Entscheidung von Google, Mozilla und Apple dürfte die bisher maximale Gültigkeitsdauer von 825 Tagen Geschichte sein. Im CA/Browser-Forum, einem Treffen von Browserherstellern und Zertifizierungsstellen (Certification Authority, CA) war die Entscheidung wie bei den letzten Kürzungen der maximalen Zertifikatslaufzeit umstritten. Allerdings kündigten bereits einige Zertifizierungsstellen an, ihre Zertifikatslaufzeiten entsprechend zu verkürzen, darunter Digicert, Amazon und T-Systems.

Im Chromium, der freien Variante des Chrome-Browsers, wurde die entsprechende Funktionalität bereits implementiert. Bei Zertifikaten, die nach dem 31. August ausgestellt wurden und eine längere Laufzeit haben, wird die Fehlermeldung ERR_CERT_VALIDITY_TOO_LONG eingeblendet. Zertifikate mit einer längeren Laufzeit, die vor dem 1. September ausgestellt wurden, werden weiterhin akzeptiert.

Die kostenfreie Zertifizierungsstelle Let's Encrypt setzt bereits seit ihrer Gründung auf recht kurze Zertifikatslaufzeiten von 90 Tagen. Damit die Zertifikate nicht händisch ausgetauscht werden müssen, lässt sich die Erneuerung automatisieren, beispielsweise mit dem ACME-Protokoll von Let's Encrypt. Mit einer Automatisierung sollten auch vergessene Zertifikatswechsel der Vergangenheit angehören, wie beispielsweise Anfang des Jahres bei Microsoft Teams. Hier hatte ein vergessener Zertifikatswechsel zu einem mehrstündigen Ausfall der Kollaborationssoftware geführt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de