Original-URL des Artikels: https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zertifikate-akzeptieren-2002-146779.html    Veröffentlicht: 21.02.2020 12:45    Kurz-URL: https://glm.io/146779

Apple

Safari soll nur noch einjährige TLS-Zertifikate akzeptieren

Apples Browser Safari soll ab 1. September nur noch TLS-Zertifikate mit einer maximalen Gültigkeit von 13 Monaten akzeptieren. Betroffen sind Webseiten wie Github.com oder Microsoft.com, die derzeit auf Zwei-Jahres-Zertifikate setzen.

Appples Browser Safari wird zukünftig keine mehrjährigen TLS-Zertifikate mehr akzeptieren. Dies kündigte Apple auf dem CA/Browser-Forum an, einem Treffen von Browserherstellern und Zertifizierungsstellen (Certification Authority, CA). Demnach akzeptiert Safari ab dem 1. September nur noch TLS-Zertifikate, die höchstens 398 Tage (13 Monate) gültig sind. Betroffen wären beispielsweise Github.com und Microsoft.com, die jeweils Zwei-Jahres-Zertifikate verwenden.

Die neue Regelung soll jedoch nur für Zertifikate gelten, die nach dem 1. September 2020 ausgestellt werden. Für alle anderen Zertifikate gilt die bisherige maximale Gültigkeitsdauer von 825 Tagen weiter. Entsprechend müsste beispielsweise Microsoft.com bei dem 2021 anstehenden Zertifikatswechsel auf ein Ein-Jahres-Zertifikat wechseln, sofern die Webseite weiterhin im Safari-Browser angezeigt werden soll. Github.com läuft bereits im Juni 2020 aus und könnte ein weiteres Zwei-Jahres-Zertifikat verwenden.

Laut Dean Coclin, leitender Direktor bei der CA Digicert, hatte Google die zeitliche Beschränkung der TLS-Zertifikate bereits im August 2019 auf dem CA/Browser-Forum vorgeschlagen und folgt damit der Beschränkung auf drei und anschließend auf zwei Jahre, die vor einiger Zeit eingeführt wurde. Ein Apple-Sprecher habe die Umsetzung auf dem Forum mit dem "Schutz der Nutzer" begründet, schreibt Coclin. "Apple möchte eindeutig ein Ökosystem vermeiden, das nicht schnell auf größere zertifikatsbezogene Bedrohungen reagieren kann. Kurzlebige Zertifikate verbessern die Sicherheit, da sie das Expositionsfenster verringern, wenn ein TLS-Zertifikat gefährdet ist", erklärt Coclin.

Die kostenfreie Zertifizierungsstelle Let's Encrypt setzt bereits seit ihrer Gründung auf recht kurze Zertifikatslaufzeiten von 90 Tagen. Damit die Zertifikate nicht händisch ausgetauscht werden müssen, lässt sich die Erneuerung automatisieren, beispielsweise mit dem ACME-Protokoll von Let's Encrypt. Zu einer Automatisierung rät auch Coclin. Mit ihr sollten auch vergessene Zertifikatswechsel der Vergangenheit angehören, wie beispielsweise kürzlich bei Microsoft Teams. Hier hatte ein vergessener Zertifikatswechsel zu einem mehrstündigen Ausfall der Kollaborationssoftware geführt.

 (mtr)


Verwandte Artikel:
Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit   
(13.03.2019, https://glm.io/139979 )
Zertifizierung: Let's Encrypt validiert Domains mehrfach   
(20.02.2020, https://glm.io/146760 )
Teams-Ausfall: Microsoft vergisst, Zertifikat zu verlängern   
(03.02.2020, https://glm.io/146428 )
TLS: Netgear verteilt private Schlüssel in Firmware   
(20.01.2020, https://glm.io/146157 )
Patch Tuesday: Windows patzt bei Zertifikatsprüfung   
(14.01.2020, https://glm.io/146064 )

© 1997–2021 Golem.de, https://www.golem.de/