Apple scheint durchsetzen zu wollen, woran Google im vergangenen Jahr gescheitert ist. SSL/TSL-Zertifikate sollen künftig nur noch für maximal 13 Monate ausgestellt werden dürfen, um in Apples Safari auf iPhones, iPads und Macs als sicher anerkannt zu werden. Apple will so den nächsten Schritt erzwingen, nachdem die Gültigkeit für SSL/TSL-Zertifikate für die verschlüsselte Datenübertragung per HTTPS im Frühjahr 2018 zunächst von drei auf seitdem zwei Jahre reduziert worden war.

Die Logik hinter dem Schritt ist klar. Zum einen bieten kürzere Gültigkeiten auch ein verkürztes Zeitfenster für etwaige Angriffe. Zum anderen erhalten Zertifikate auf Basis veralteter Algorithmen ein verkürztes Ablaufdatum. Das sorgt insgesamt für die Verwendung neuerer krytografischer Standards und damit für ein allgemein höheres Sicherheitsniveau im Netz.

Nun gibt Apple Seitenbetreibern noch bis zum 1. September 2020 Zeit, sich auf die neuen verkürzten Zertifikatlaufzeiten einzustellen. Dabei gilt, dass ab dem 1. September 2020 ausgestellte Zertifikate nur noch eine Laufzeit von maximal 398 Tagen haben dürfen, um im Safari nicht als unsicher markiert zu werden. Alle vor dem Stichtag ausgegebenen Zertifikate werden als gültig anerkannt und müssen sich noch nicht an die neuen Fristen halten.

Bislang hat Apple die Maßnahme weder öffentlich angekündigt, noch öffentlich bestätigt. Die Informationen zur geänderten Vorgehensweise hatte der Zertifikatanbieter Digicert vergangenen Mittwoch auf dem CA/Browser-Forum in der slowakischen Hauptstadt Bratislava erhalten und in einem Blogbeitrag veröffentlicht.

Für den populären Zertifikats-Dienstleister Let’s Encrypt ist das neue Verfahren kein Problem. Hier wird ohnehin mit Zertifikatslaufzeiten von 90 Tagen gearbeitet. Für die automatische Erneuerung gibt es verschiedene Methoden, so dass der Seitenbetreiber nicht ständig händisch eingreifen muss.

Ein digitales SSL-Zertifikat ist ein Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt. Die Authentizität und Integrität des Zertifikats kann dabei durch kryptographische Verfahren geprüft werden. Das digitale Zertifikat enthält alle benötigten Informationen, die für diese Prüfung gebraucht werden.

Dieses Zertifikat sieht der Benutzerbrowser als ersten, wenn er eine entsprechende Seite aufruft. Auf der Basis der Zertifikatsinformationen handeln Browser und Website sodann die verschlüsselte Datenübertragung aus.

Das Verfahren ist nicht unumstritten und weist etliche Schwachstellen in der Implementierung auf. Das gängigste Risiko besteht darin, dass der Zertifikateaussteller selber eventuell nicht vertrauenswürdig ist. Generell lässt sich also sagen, dass eine verkürzte Zertifikatgültigkeit jedenfalls ein verringertes Risiko darstellt.