Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Auf Apples Initiative: Gültigkeit von TLS-Zertifikaten wird drastisch verkürzt

Vor einem Jahrdutzend war eine verschlüsselte Verbindung über den Browser noch ein seltenes Vorkommen, das sich großteils auf Webshops und Homebanking beschränkte. Im Zeitalter zunehmend mobiler Internetverbindungen wurde dies zum Problem: Ein böswilliges freies WLAN konnte den Datenverkehr zwischen Anwendern und den meisten Websites mitschneiden und persönliche Informationen abgreifen. Inzwischen verwendet fast jede Website Transport Layer Security (TLS); so weitverbreitet ist die Verschlüsselung, dass Browser vor einer unverschlüsselten Verbindung generell abraten. Doch eine Verschlüsselung an sich garantiert noch keine Vertrauenswürdigkeit; diese wird erst mit der Validierung des Zertifikats erreicht. Ab 2029 sind solche Zertifikate nur noch 47 Tage gültig – eine Erneuerung wird also sieben- bis achtmal im Jahr notwendig.


Der Beschluss für die Reduktion auf rund ein Achtel der bisherigen maximalen Gültigkeit fiel einstimmig: Von den 30 stimmberechtigten Zertifikatserstellern/Certificate Authorities enthielten sich 5, 25 befürworteten die Änderung. Die vier stimmberechtigten Zertifikatsnutzer (Apple, Google, Microsoft, Mozilla) stimmten ebenfalls für Antrag SC-081v3, welcher im letzten Jahr von Apple eingebracht wurde. Die Umsetzung wird in drei Schritten vorgenommen:

  • 15. März 2026: Die Gültigkeit neuer TLS-Zertifikate wird auf 200 Tage reduziert.
  • 15. März 2027: Erneute Reduktion der Gültigkeit auf 100 Tage.
  • 15. März 2029: Finale Verkürzung auf 47 Tage.

Ziel: weitverbreitete Automatisierung
Eine manuelle Erneuerung der TLS-Zertifikate ist ein aufwendiger und fehleranfälliger Prozess; die schlussendliche maximale Gültigkeit erfordert realistisch einen monatlichen Austausch. Ziel der Regelung ist unter anderem, eine generelle Automatisierung des Vorgangs in allen Anwendungsbereichen durchzusetzen. Viele Webseitenbetreiber nutzen eine automatisierte Aktualisierung über die kostenlose Zertifikatsausgabe Let‘s Encrypt – und auch viele andere Ausgabestellen erlauben eine automatisierte Veränderung. Doch kann dies längst nicht alle Anwendungsfälle von TLS-Zertifikaten abdecken – ein Beispiel ist, wenn der Server nur eingeschränkte Rechte hat, mit anderen Servern zu interagieren. Mit der schrittweisen Restriktion der Gültigkeitsdauer soll ein zunehmender Druck entstehen, damit industrieweit automatisierte Zertifikatserneuerungen implementiert werden. Es ist stark damit zu rechnen, dass es besonders in der Anfangszeit zu einigen Ausfällen aufgrund abgelaufener Zertifikate kommt.

Falscher Weg?
Dass private Schlüssel öffentlich bekannt und dadurch Zertifikate kompromittiert werden, ist ein gängiges Problem – doch manche halten die Lösung, nämlich eine Verkürzung der Laufzeit, für das falsche Mittel. Eine andere Möglichkeit wäre gewesen, das Zurückziehen von Zertifikaten über beispielsweise Certificate Revocation List oder das Online Certificate Status Protocol effizienter zu gestalten und somit auch längere Laufzeiten zuzulassen.
Bericht: Glukosemessung für Apple Watch Series 13 geplant, AirPods Pro 3 nicht in diesem Jahr
Bericht: Glukosemessung für Apple Watch Series ...
Neues Apple TV voraus? iOS 26 gibt Hinweise
Neues Apple TV voraus? iOS 26 gibt Hinweise
TT High End Spezial
TT High End Spezial
Reparaturprogramm für den Mac mini M2 gestartet
Reparaturprogramm für den Mac mini M2 gestartet
macOS 26 "Tahoe" – der Sprung um 11 Versionsnummern
macOS 26 "Tahoe" – der Sprung um 11 Versionsnum...
Rosetta 2 ab macOS 28 nur noch eingeschränkt nutzbar
Rosetta 2 ab macOS 28 nur noch eingeschränkt nu...
iPhone 17: Dummy-Bilder von allen Modellen – schlankes Gehäuse des Air-Modells beeindruckt
iPhone 17: Dummy-Bilder von allen Modellen – sc...
Krankt Apples Software?
Krankt Apples Software?

Kommentare

sffan18.04.25 12:12
Ich halte es auch für den falschen Weg. Zum Glück habe ich keine Arbeit damit. Statt den Admins damit mehr unnütze Arbeit aufzubürden, hätte ich die im Text aufgezählten Alternativen für sinnvoller gehalten.
-5
Metty
Metty18.04.25 12:21
Für Systemadminstratoren, die alte Systeme am Laufen halten müssen, wird das zu richtig Ärger führen. Oft erlauben diese Systeme gar keine automatisierte Zertifikatserneuerung.
Und schliesslich ist es relativ egal, ob ein geklauter privater Schlüssel noch 300 oder 40 Tage läuft. Der Schaden ist da und die Daten fliessen die falsche Richtung.
+15
Mendel Kucharzeck
Mendel Kucharzeck18.04.25 12:36
Wir haben Infrastruktur auf Linux und Windows Server am laufen – bei AWS, Azure und auch bei "klassischen" Hostern. Das wird ein Spass, das unter einen Hut zu bekommen

Ich hätte es echt begrüßt, wenn man stattdessen einen verpflichtenden Invalidierungsmechanismus geschaffen hätte – mir sind die Probleme eines solchen Systems bewusst (komplex umzusetzen, möglicherweise höhere Latenz bei erstmaligen Anfragen usw), aber es hätte dazu geführt, dass Zertifikate innerhalb Stunden invalidiert werden können.
+13
CHL
CHL18.04.25 13:12
Ich sehe hier eine "Gelddruckmaschine" für die Aussteller. Nicht alles ist kostenfreies LetsEncrypt. Billiger wird sicher nix. Und eine Automatisierung ist aktuell noch nicht überall einfach möglich. Der Mehraufwand ist somit auch für den Kunden ein Kostenthema.

Wird eine nette Zeit mit vergessenen Erneuerungen und damit einhergehenden Ausfällen bzw. Störungen.
+2
sioh18.04.25 14:32
Das Ganze gilt nur für Zertifikate im Browser und für von öffentlichen Ausgabestellen herausgegebenen, nicht aber für andere Verwendungen als für Webseiten oder von eigenen Ausgabestellen.

Die ständige Verkürzung der Laufzeiten ist auch eine Sache die nun schon seit bald 10 Jahren vorangetrieben wird, eben weil sich herausgestellt hat das sich die bestehenden Mechanismen zur Prüfung auf zurückgezogene Zertifikate nicht durchgesetzt haben. Vor allem weil sie so furchtbar schlecht skalieren und abgelaufene Zertifikate dort garnicht erst aufgeführt werden müssen sondern lokal gegen die Uhr gecheckt werden können.

Die Schmerzen die manche nun noch
  • bei Webservern
  • mit dem automatischen ersetzen
  • von öffentlichen Ausstellern ausgestellten Zertifikaten haben
ist nach all der Zeit einfach nur eine dumme Ausrede die, wenn nötig, regelmäßig durch bspw. Reverse Proxies gelöst werden können.
+10
RaphaS
RaphaS18.04.25 15:12
Kann die negative Einstellung gegenüber der Verkürzung nicht verstehen.

Natürlich ist es nicht die eierlegende Wollmilchsau, aber zumindest ein Schritt in die richtige Richtung. Jeder der sich dagegen stellt kämpft doch nur damit in Problemen zu denken und nicht in Lösungen.

Wenn mir dabei sofort Gedanken kommen „das geht doch gar nicht weil…“ – dann ist‘s auch schon vorbei. Weil es Menschen immens wichtig ist, Recht über ihre eigene Meinung zu haben.

Erinnert Euch doch einfach mal daran wie armselig unsere Welt aussehen würde, wenn Meinungen tatsächlich richtig wären. Dann hätten wir bis heute noch keine Flugzeuge oder American Blondie würde jetzt tatsächlich eine Strandpromenade in Gaza bauen.

Ja das wird komplex. Aber auch ja – Menschen handeln nur um ihre eigene Faulheit sicherzustellen. Und wenn der Aufwand nur hoch genug wird das manuell zu erneuern, wird es auch schlaue Köpfe geben die das automatisiert bekommen. 🤷🏻‍♂️
Völlig egal was Du über Dich und andere denkst – Du wirst immer Recht behalten.
-9
Megaseppl18.04.25 17:04
Mich nervt es.
Klar nutzen wir automatisiert Zertifikate wo es nur geht: mittlerweile deutlich über 100 Stück auf den verschiedenen Systemen, auch intern. Da wo es funktioniert: perfekt!
Vor Jahren hab ich sogar einen speziellen Lets Encrypt AMCE HTTP Challenge Reverse Proxy programmiert und auf GitHub gestellt, damit auch die Geräte im LAN alle direkt ihre Zertifikate erzeugen können ohne von extern erreichbar zu sein (und ohne den Support von DNS-Challenges)
Es gibt allerdings ältere Systeme, die unterstützen keine Automatisierung oder die Implementierung einer Automatisierung durch Dienstleister ist einfach richtig teuer. Insbesondere bei redundanten Load Balancern mit einem Cluster im Backend, befüllt durch CI/CD ist das relativ komplex und richtig teuer. Auch gibt es Legacy-Systeme, bei denen der öffentliche Thumbprint des Zertifikats manuell eingespielt werden muss, jedes Mal wenn sich das Zertifikat eines Servers im WAN ändert. Wir nutzen daher noch neben den automatisierten Zertifikaten gekaufte Wildcards mit einem Jahr Gültigkeit. Ich fand daher schon den change von 3 Jahren auf ein Jahr nervig, insbesondere bei den Systemen, bei denen der Vorgang auch noch fehleranfällig war (z.B Exchange Server). Die Änderung auf wenige Wochen wird uns selbst hier keinen Sicherheitsgewinn geben, stattdessen wird es eine Menge mehr Aufwand bedeuten die Legacy-Systeme immer wieder manuell zu aktualisieren oder aber einzelner LAN-interne Dienste müssen wieder über selbstausgestellte Zertifikate laufen, die in Browsern Sicherheitswarnungen ausgeben lassen.
+8
Wauzeschnuff
Wauzeschnuff18.04.25 17:36
RaphaS
Wenn mir dabei sofort Gedanken kommen „das geht doch gar nicht weil…“ – dann ist‘s auch schon vorbei. Weil es Menschen immens wichtig ist, Recht über ihre eigene Meinung zu haben.
Hui, ui, ui. Niemand (ok vermutlich ein paar wenige), denkt hier an „Es geht nicht, weil …“. Das das möglich ist steht außer Frage.

Die Kritik geht eher in die Richtung: Ist das die richtige (oder eine gute, oder überhaupt eine) Lösung für das Problem, das es zu lösen vorgibt?
+8
Mendel Kucharzeck
Mendel Kucharzeck18.04.25 21:51
RaphaS
Grundsätzlich stellt glaube ich niemand die Verschlüsselung an sich oder den Fakt, dass diese auch gut funktionieren muss, in Frage.

Allerdings ist es so, dass über die Verkürzung der Laufzeit das eigentliche Manko nicht gelöst, sondern nur "weniger schlimm" gemacht wird. Ein geleakter Private Key ist nach wie vor extrem schädlich, völlig egal ob nun 40 oder 365 Tage – und genau das Problem wird hier nicht angegangen. Es verbessert die Situation nur etwas, schafft aber eine Menge an Trouble für alle, die öffentliche Zertifikate, z.B. für Webseiten, benötigen.

Die wirkliche Lösung, dass Zertifikate invalidiert/zurückgezogen werden können, sollte das Endziel sein – denn dann ist die Laufzeit völlig schnuppe (einmal von technischen Aspekten abgesehen, z.B. der Umstellung auf eine modernere Verschlüsselungstechnik). Je früher man das Problem angehen würde und je früher man Client-Systeme mit solchen Mechanismen ausstattet, desto eher kann das Problem tatsächlich gelöst werden – statt nur "weniger schlimm" gemacht werden.

Mir sind die Probleme eines solchen Mechanismus bewusst (langsamer, aufwändig, zusätzlicher Traffic) – aber trotzdem sollten die Bemühungen hierauf abzielen.
+9
RaphaS
RaphaS19.04.25 08:17
Mendel Kucharzeck

Das ist soweit klar. Nur stoßen wir da aufs gleiche Problem. Technisches Verständnis bzw. Sachen zu durchdenken – solche Leute sind massiv in der Unterzahl. Die Meisten hassen Veränderungen, weshalb man sowas immer in kleinen Schritten umsetzen muss.

Wenn wir von heute auf morgen das Bargeld abschaffen würden, wäre der Aufschrei riesig. Aber wenn seit ein paar Jahren die 500er langsam aus dem Verkehr gezogen werden, seit letztem Jahr bei allem ab 10k der Ausweis gezeigt werden muss, und jetzt schon die Absenkung auf 3000€ diskutiert wird…gleiches Prinzip.

Die ganze Welt würde prima funktionieren, wenn gewisse Dinge einfach mal durchdacht werden würden.
Völlig egal was Du über Dich und andere denkst – Du wirst immer Recht behalten.
-2
Stefanie Ramroth19.04.25 08:23
RaphaS
Wenn wir von heute auf morgen das Bargeld abschaffen würden, wäre der Aufschrei riesig. Aber wenn seit ein paar Jahren die 500er langsam aus dem Verkehr gezogen werden, seit letztem Jahr bei allem ab 10k der Ausweis gezeigt werden muss, und jetzt schon die Absenkung auf 3000€ diskutiert wird…gleiches Prinzip.
Es geht aber darum, dass wir das Falschgeld weiter im Geldkreislauf belassen und einfach nicht mehr prüfen. Die Lösung heißt einfach "wir bringen alle 40 Tage neue Geldscheine heraus, dann erkennt man die falschen besser".

Der Vergleich passt nicht, weil eben nicht der "Ausweis" vorgezeigt werden muss, sondern weiterhin die falschen Zertifikate akzeptiert werden - mangels funktionierendem und skalierendem Revoke-Mechanismus - und stattdessen nur die Umlaufzeit verkürzt wird.
+5
konnektor22.04.25 10:41
Als Admin verstehe ich den Ärger und kenne die Probleme. Allerdings habe ich die Hoffnung mit der Verkürzung Druck auf die Hersteller auszuüben. Wenn ich z.B. an unsere Telefonanlage denke, da hatte eine Zertifikatsverwaltung einfach über 10 Jahre keine Priorität.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.