Die Initiative war von Apple ausgegangen und hatte in eine zunächst unilaterale Ankündigung gemündet. Schon im Februar hatte Apple bestätigt, ab dem 1. September 2020 in seinem Safari-Browser alle Websites mit Zertifikaten, die länger als 13 Monate gelten, als unsicher markieren zu wollen. Im Jahr zuvor hatte Google bereits einen ähnlichen Vorstoß gewagt, hatte sich jedoch durch den mangelnden Konsens letztlich von dem Schritt abhalten lassen.

Nun herrscht Einigkeit zwischen Apple, Google und Mozilla. Und auch Microsoft wird wahrscheinlich mitziehen, immerhin basiert der neue Edge-Browser auf Chromium, der Open-Source-Variante von Chrome. Zudem ist Microsoft ebenfalls Mitglied im CA/Browser-Forum, in dem derlei Vorgehensweisen abgestimmt werden.

Die Logik hinter dem Schritt ist klar: Zum einen bieten kürzere Gültigkeiten ein verkürztes Zeitfenster für etwaige Angriffe. Zum anderen erhalten Zertifikate auf Basis veralteter Algorithmen ein verkürztes Ablaufdatum. Das sorgt insgesamt für die Verwendung neuerer kryptografischer Standards und damit für ein allgemein höheres Sicherheitsniveau im Netz.

Seitenbetreiber haben nun noch bis zum 1. September 2020 Zeit, sich auf die neuen verkürzten Zertifikatslaufzeiten einzustellen. Dabei gilt, dass ab dem 1. September 2020 ausgestellte Zertifikate nur noch eine Laufzeit von maximal 398 Tagen haben dürfen, um in den wichtigsten Browsern nicht als unsicher markiert zu werden. Alle vor dem Stichtag ausgegebenen Zertifikate werden als gültig anerkannt und müssen sich noch nicht an die neuen Fristen halten.

Die Informationen zur geänderten Vorgehensweise hatte der Zertifikatsanbieter Digicert im Februar 2020 auf dem CA/Browser-Forum in der slowakischen Hauptstadt Bratislava erhalten und in einem Blogbeitrag veröffentlicht. Zuletzt war die Gültigkeit für SSL/TSL-Zertifikate für die verschlüsselte Datenübertragung per HTTPS im Frühjahr 2018 von drei auf seitdem zwei Jahre reduziert worden.

Für den populären Zertifikatsdienstleister Let’s Encrypt ist das neue Verfahren kein Problem. Hier wird ohnehin mit Zertifikatslaufzeiten von 90 Tagen gearbeitet. Für die automatische Erneuerung gibt es verschiedene Methoden, sodass der Seitenbetreiber nicht ständig händisch eingreifen muss.

Auch weitere Anbieter von SSL/TLS-Zertifikaten reagieren bereits auf die kommende Laufzeitverkürzung. So bietet Digicert jetzt ein Abonnement an, mit dem SSL/TLS-Zertifikate für bis zu sechs Jahre im Voraus erworben werden können. Das soll den Prozess für Seitenbetreiber weiter vereinfachen. Fairerweise sei angemerkt, dass der schon bislang nicht kompliziert war. Webmaster müssen nur einfach daran denken, ihre Zertifikate zu erneuern.

Ein digitales SSL/TLS-Zertifikat ist ein Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt. Die Authentizität und Integrität des Zertifikats kann dabei durch kryptografische Verfahren geprüft werden. Das digitale Zertifikat enthält alle benötigten Informationen, die für diese Prüfung gebraucht werden.

Dieses Zertifikat sieht der Benutzerbrowser als erstes, wenn er eine entsprechende Seite aufruft. Auf der Basis der Zertifikatsinformationen handeln Browser und Website sodann die verschlüsselte Datenübertragung aus.

Das Verfahren ist nicht unumstritten und weist etliche Schwachstellen in der Implementierung auf. Das gängigste Risiko besteht darin, dass der Zertifikatsaussteller selbst eventuell nicht vertrauenswürdig ist. Generell lässt sich aber sagen, dass eine verkürzte Zertifikatgültigkeit ein verringertes Risiko darstellt.