Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Webseiten-Zertifikate: Apple verkürzt die Laufzeit

Geht es nach Apple, dann werden zwei oder gar fast drei Jahre gültige SSL/TLS-Zertifikate in absehbarer Zeit Geschichte sein: Sowohl auf Macs als auch auf iPhones und iPads werden im Laufe dieses Jahres nur noch solche Zertifikate als sicher eingestuft, die eine maximale Laufzeit von 398 Tagen haben. Webseiten, welche länger gültige Zertifikate nutzen, werden dann in Safari als potenziell gefährlich betrachtet und der Browser gibt eine entsprechende Warnung aus.


Apple macht sich zum Vorreiter
Die Maßnahme gaben Vertreter des iPhone-Konzerns einer Mitteilung von DigiCert zufolge in der vergangenen Woche im Rahmen des Certification Authority Browser Forum in der slowakischen Hauptstadt Bratislava bekannt. Apple macht sich mit der Maßnahme zum Vorreiter bei den Bemühungen, lange laufende Zertifikate abzuschaffen und deren Gültigkeit erheblich zu verkürzen. Google und andere Unternehmen wollen die Zertifikats-Laufzeiten bereits seit einiger Zeit einschränken, konnten dieses Anliegen aber bislang noch nicht auf breiter Front durchsetzen.

Kurze Gültigkeit erhöht die Sicherheit
Kürzere Gültigkeitsdauern von Zertifikaten erhöhen die Sicherheit insbesondere in zweierlei Hinsicht. Zum einen sorgt der Zwang zur regelmäßigen Erneuerung dafür, dass bei Webseiten stets die aktuellen kryptografischen Standards zum Einsatz kommen. Darüber hinaus sinkt die Gefahr, dass ältere Zertifikate von Hackern, Phishern oder anderen Kriminellen übernommen und etwa für Attacken eingesetzt werden.

Druck auf Webseiten-Betreiber
Betroffen von Apples Maßnahme sind allerdings lediglich ab 1. September 2020 neu ausgestellte Zertifikate. Vor diesem Stichtag ausgegebene SSL/TLS-Zertifikate mit einer Gültigkeit von bis zu 825 Tagen werden von Safari auch zukünftig akzeptiert, ohne dass der Browser eine Warnung auswirft. Dennoch setzt Apple mit dem Schritt die Betreiber von Webseiten unter Druck: Wenn sie ihre Inhalte ohne Einschränkungen und lästige Sicherheitshinweise auf Macs, iPhones und iPads zur Verfügung stellen wollen, müssen sie sich demnächst in kürzeren Abständen um die Erneuerung der Zertifikate kümmern. Gelassen können alle Nutzer der weltweit millionenfach genutzten kostenlosen Zertifikate von Let's Encrypt der Veränderung entgegensehen: Diese sind ohnehin stets nur drei Monate gültig und werden in aller Regel automatisch erneuert.
Recycling-Betrug: Doch Apple lässt Klage fallen, um eigenes widersprüchliches Verhalten nicht zu thematisieren
Recycling-Betrug: Doch Apple lässt Klage fallen...
Warum Apple den GameBoy-Emulator iGBA direkt wieder aus dem Store warf
Warum Apple den GameBoy-Emulator iGBA direkt wi...
Nach 14 Jahren: Apples Taschenrechner kommt für das iPad
Nach 14 Jahren: Apples Taschenrechner kommt für...
Kurz: Beliebige KI-Musik mit Udio komponieren (lassen) +++ Spotify "Music Pro" auf dem Weg?
Kurz: Beliebige KI-Musik mit Udio komponieren (...
Tim Cook überrascht mit Videoauftritt zur Premiere des neuen Porsche Taycan Turbo GT
Tim Cook überrascht mit Videoauftritt zur Premi...
Test Cambridge Audio CXN100
Test Cambridge Audio CXN100
Fragwürdiges Gerücht: iOS 18 mit neu gestalteter Benutzeroberfläche, inspiriert durch visionOS
Fragwürdiges Gerücht: iOS 18 mit neu gestaltete...
7 Jahre APFS: Vorteile und Eigenheiten von Apples modernem Dateisystem
7 Jahre APFS: Vorteile und Eigenheiten von Appl...

Kommentare

sierkb24.02.20 13:00
heise (24.02.2020): Verkürzte Laufzeit für SSL/TLS-Zertifikate: Apple prescht offenbar vor
Auf Apple-Geräten werden Webseiten demnächst als unsicher markiert, wenn ihr Zertifikat länger als 13 Monate gültig ist.
heise, 24.02.2020
[…]

Die Ankündigung sei auf dem CA/Browser-Forum, einem Branchengremium aus Zertifizierungsstellen und Betriebssystem- sowie Browser-Herstellern, in der slowakischen Hauptstadt Bratislava erfolgt, wie ein Zertifikatanbieter berichtet. Eine offizielle Ankündigung von Apple liegt bislang nicht vor.

[…]

Google habe schon im vergangenen Jahr versucht, eine derart verkürzte Laufzeit für TLS-Zertifikate durchzubringen, sei aber an großem Widerstand gescheitert – wegen der Sorge um erheblichen Mehraufwand für IT-Teams und Seitenbetreiber, führt Digicert aus.

[…]

Apple habe die Entscheidung nun "unilateral getroffen", der "Schutz der Nutzer" sei vom dem Konzern als Grund angeführt worden. Kürzer gültige Zertifikate können für eine höhere Sicherheit sorgen, da sie im Fall einer Kompromittierung ein geringeres Zeitfenster für Angriffe bieten, so die Zertifikatfirma.
[…]

digicert (19.02.2020): Position on 1-Year Certificates – Three, Two, One, Liftoff on One-Year TLS Certificates
digicert, 19.02.2020
At the CA/Browser (CA/B) Forum in Bratislava, Slovakia, this week, Apple announced that beginning Sept. 1, newly issued publicly trusted TLS certificates are valid for no longer than 398 days. This followed a long history of the CA/B Forum community working to reduce certificate lifetimes and improve security, while balancing the needs of business owners in transitioning to shorter validity certificates.

In August 2019, CA/B Forum Ballot SC22 was introduced by Google to reduce TLS certificate validity periods to one year. CAs reviewed this proposal with their customers and produced thousands of comments from users, which mostly showed opposition, due to the additional work required by IT teams to handle shorter validity periods. The ballot failed in the Forum, which meant certificate maximum lifetimes remained at two years.

At one time, certificates were offered with a maximum validity of three years. A few years ago, they were reduced to two years. Fast forward to this week’s Apple announcement, which ultimately does what ballot SC22 failed to do: reduce certificate lifetimes to one year.

Why did Apple unilaterally decide to enforce a shorter certificate lifetime? Their spokesperson said it was to “protect users.” We know from prior CA/B Forum discussions that longer certificate lifetimes proved to be challenging in replacing certificates, in the case of a major security incident. Apple clearly wants to avoid an ecosystem that cannot quickly respond to major certificate-related threats. Short-lived certificates improve security because they reduce the window of exposure if a TLS certificate is compromised. They also help remediate normal operational churn within organizations by ensuring yearly updates to identity such as company names, addresses and active domains. As with any improvement, shortening of lifetimes should be balanced against the hardship required of certificate users to implement these changes.

[…]


Scott Helme (22.02.2020): Certificate lifetime capped to 1 year from Sep 2020
It's finally happening! We've had 2 failed attempts through the CA/B Forum and now Apple has decided to enforce a maximum lifetime of 398 days on certificates issued from 1st Sep 2020.
Scott Helme, 22.02.2020
Previous attempts to reduce to 1 year

The 2 previous attempts to reduce certificate lifetimes to 1 year came with Ballot 185 in Feb 2017 and then Ballot SC22 in Sep 2019. You can read all of the details on both of those in my blog Ballot SC22: Reduce Certificate Lifetimes, but in both ballots the support from CAs was poor whilst the support from browsers reached 100% in the second ballot.

With 100% support from the browsers in the second ballot there was a clear sign that they wanted this, and with very good reasons too. I have a blog post going back 2 years on Why we need to do more to reduce certificate lifetimes so if you're interested in some of the reasons then you can check them out there, but there are some very good reasons that have only become more important over time.

Back in September when Ballot SC22 failed, I made the following comment in my closing paragraph of the blog post.
Scott Helme
All in all, this process really highlighted some of the issues we have in this ecosystem and just how deep they run. The browsers tried to change this twice through the forum and if I were a gambling man, my money would be on the 3rd attempt being taken elsewhere.

It now seems that my prediction has come to pass!

[…]

Useful links and info

Michal Špaček also covered this topic in Maximum HTTPS certificate lifetime to be 1 year soon.

DigiCert published their Position on 1-Year Certificates.

Paul Calvano and his analysis with HTTP Archive data Certificate Validity Dates.

I will update this post with links to the CA/B Forum minutes and Apple announcement when they become available.

Scott Helme (10.09.2019): Ballot SC22: Reduce Certificate Lifetimes
We've made some great progress in the TLS and PKI ecosystem in recent years, driven largely by the actions of browser vendors. We could have just taken another step forwards with Ballot SC22 at the CA/B Forum, but too many CAs voted against the ballot.
-12
martzell25.02.20 00:56
Jetzt schon total bescheuert dass ich meine Wärmepumpen-PV-Steuerung und Stromzähler im iphone Safari nicht angezeigt bekomme. Im lokalen Netzwerk hängt das Teil im Keller und enthält keine Schadsoftware. Wir werden viel Müll bekommen weil auch Apple unnötige Einschränkungen vornimmt. Erst den PPC-Emulator Rosetta entfernt, jetzt noch ohne Not 32-Bit nicht mehr unterstützen. Und Catalina nervt wie es seinerzeit Apple in der im a mac im a pc Werbung Vista vorgeworfen hat.

Ich habe nie verstanden warum ich für eine verschlüsselte Verbindung, beispielsweise zwischen einer Website die ich zuhause betreibe um aus der Ferne auf Daten zugreifen zu können, Zertifikate für tausende Euro alle paar Jahre neu kaufen muss. Ich will einfach nur eine verschlüsselte Verbindung und nicht dass eine Firma die ich nicht kenne mir bestätigt dass eine andere Firma die ich nicht kenne vertrauenswürdig ist.
+1
sierkb25.02.20 01:25
martzell
Zertifikate für tausende Euro alle paar Jahre neu kaufen muss. Ich will einfach nur eine verschlüsselte Verbindung und nicht dass eine Firma die ich nicht kenne mir bestätigt dass eine andere Firma die ich nicht kenne vertrauenswürdig ist.

Es gibt breit anerkannte, kostenfreie Zertifikate bei vertrauenswürdigen CAs, dafür muss man kein Geld ausgeben. Let's Encrypt…
Die Let's Encrypt-Initiative ist nicht ohne Grund so erfolgreich und hat nicht nur die Browser-Hersteller im Rücken und als Partner. Ermöglicht einer breiten Masse die kostenfreie unkomplizierte SSL-Verschlüsselung bei hoher Vertrauenswürdigkeit. Zudem muss man Zertifikate auch nicht zwangsweise mehr von Hand erneuern, das kann man automatisieren bzw. dafür gibt es fertige Skripte, fertige Server-Module für den Webserver (bei Apache z.B. mod_md, bei nginx gibt's ebenso was, ebenso bei Plesk ein entspr. Interface, Button/Menüpunkt), die das bereits automatisch unter der Haube erledigen, viele Provider bieten es als ganz normalen Service an, es ist selbstverständlich geworden.

Nicht zuletzt das wird auch bei Apple mit ein motivierender Punkt gewesen sein, sich an die 2019 getroffene Konsens-Einigung im Ballot SC22 des CA/B Forums nicht mehr gebunden zu fühlen und nun einseitig vorzupreschen und die Zurückhaltung zu durchbrechen. Es ist gut, dass das geschehen ist, geschieht. Let's Encrypt-Zertifikate z.B. gelten 3 Monate, und sie werden von verschiedenen Providern nach Ablauf automatisch verlängert, der Kunde/Nutzer muss nix machen, bekommt höchstens eine Mitteilungs-Email nach getaner Arbeit, wenn das Zertifikat für seine Domain automatisch erneuert worden ist.
+1
wolf2
wolf225.02.20 08:07
dieser ganze sicherheitswahn wird das netz noch auffressen.
raunzen, mosern, sumpern, sudern, was uns bleibt.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.