Zertifikate leben bald nur mehr 47 Tage

Das CA/Browser Forum hat auf Anregung von Apple beschlossen, dass die maximale Laufzeit von öffentlichen Zertifikaten (Das sind die, die man z.B. für Webseiten, Mailserver, usw. braucht) bis 2029 schrittweise von derzeit 398 auf 47 Tage reduziert wird.

Das heißt natürlich für uns, dass eine manuelle Aktualisierung wie bisher kaum noch möglich sein wird. Was tun? Mit Letsencrypt hat sich eine praktikable Lösung (hauptsächlich weil sie kostenlos ist) bereits durchgesetzt. Das von Letsencrypt verwendete Format ACME2 (RFC 6125) kann für die automatische Verlängerung von Zertifikaten eingesetzt werden. Auch Anbieter von öffentlichen Zertifikaten wie Sectigo und Godaddy unterstützen mittlerweile ACME Aktualisierungen.

Jetzt ist die Zeit um zu starten!

Was ist zu tun?

  1. Welche Zertifikate habe ich im Unternehmen? Habe ich eine vollständige Asset-Liste, die alle Zertifikate erfasst?
  2. Unterstützt der Anbieter, von dem ich meine Zertifikate habe ACME? Was ist seine Lösung für die 47 Tage? Sollte ich bei der nächsten fälligen Verlängerung evtl. wechseln?
  3. Wann läuft das nächste Zertifikat aus? Kann ich dieses für ein Pilotprojekt zur ACME Aktualisierung verwenden?

Warum eigentlich das Ganze?

Wer sich übrigens fragt, warum Apple uns das überhaupt antut – na ja, in dem speziellen Fall sind sie nicht allein. Google hat 2023 schon mal versucht, ähnliches durchzusetzen, ist damals aber gescheitert. Wo ist das Problem? 

Wenn ein Zertifikat kompromittiert wird – also z.B. der Private key aus irgendwelchen Gründen in falsche Hände gerät, so ist der vorgesehene Weg um das Zertifikat ungültig zu machen eine Sperrliste, die der Herausgeber pflegt. Der Plan wäre also, dass der Betroffene bemerkt dass sein Zertifikat nicht mehr sicher ist, dann den Herausgeber informiert und dieser die Sperrliste aktualisiert. Schon in der Kette gibt es einige Fragezeichen, aber das eigentliche Problem ist die Sperrliste.

Bei jedem Aufruf einer Webseite und bei jedem Bild das auf dieser Seite geladen wird muss der Browser die verschlüsselt übertragenen Daten entschlüsseln. Das macht er mit dem Public Key des Zertifikats. Aber bevor er dem vertraut, müsste er in jedem Fall die Sperrliste des Herausgebers befragen, ob der Key überhaupt noch gültig ist. Das führt sehr schnell zu sehr hohen Lasten auf diesen Sperrlistenservern. Wenn ein Herausgeber also kosten spart, werden diese Anfragen langsam. Wenn der Browser nun brav wartet, werden die Seiten fürchterlich langsam. Wenn ein anderer Browserhersteller einfach auf die Prüfung verzichtet, ist dieser Browser viel schneller. Drei mal darf man raten, was die Browserhersteller auf Druck der Kunden machen…

Leider ist keinem der „big Player“ bisher eine saubere Lösung eingefallen. Also machen sie einfach die Gültigkeit der Zertifikate kürzer. Unter dem Motto: Dann ist es wenigstens weniger lang unsicher.

Ob das tatsächlich die endgültige Lösung sein wird, bleibt abzuwarten. Auf jeden Fall haben wir jetzt die Chance eine ganz blöde und Fehleranfällige Arbeit zu automatisieren – das verlängern von Zertifikaten.

Was tun?

Das Übliche 😉 – Bei AnD melden und Termin für ein Kick-off Projekt ausmachen. Schaut schon mal, dass ihr eine Liste eurer Zertifikate beisammen habt, die brauchen wir auf jeden Fall.

Gerne helfen wir natürlich auch bei allen anderen Zertifikatsdingen, wie Wildcard-Zertifikaten, internen Zertifizierungsstellen, Linux Zertifikaten und alle anderen Freuden, die uns die zauberhafte Welt der Zertifikate so beschert.

ZURÜCK