Certificate Lifetime ab 1. Sep 2020

Am 1. Sep 2020 werden die neuen Browser keine Zertifikate mehr als gültig ansehen, deren Gültigkeit länger als 398 Tage ist. Das betrifft nicht nur Webshops und öffentliche Webseiten sondern auch interne Webseiten, die von einer eigenen RootCA mit Zertifikaten ausgestatten werden. Ich möchte ihnen aus meiner Sicht erklären, warum diese Änderung sinnvoll ist.

IT sie so vielfältig, dass ich gar nicht alle Bereiche beschreiben kann, die unter Office 365 Consultants, Managed Service Mitarbeiter, Entwickler etc. laufen. Stellen Sie meinen Kollegen und mir einfach mal vor, was sie bewegt und was sie bewegen wollen. Wir haben ganz viele Aufgaben, an denen Sie sich messen können. z.B. ein Rollout-Management für Zertifkate?
https://www.netatwork.de/unternehmen/karriere/#stellenangebote

Wen betrifft es?

Zertifikate sind die Schlüsselkomponenten beim Einsatz von Verschlüsselung per HTTPS, SMTPS, STARTTLS, POP3S, IMAP4S,SSH und vielen anderen Protokollen. Der Client verbindet sich mit dem Server und der Server liefert eine Zertifikat mit einem öffentlichen Schlüssel aus. Der Client prüft natürlich den Namen im Zertifikat, die Gültigkeitsdauer und den Herausgeber des Zertifikats. Das System ist nur sicher, wenn die vertrauenswürdigen Stammzertifizierungsstellen ihren Job korrekt ausführen. Sollte ein Zertifikat abhanden kommen, dann sollte die PKI über die Sperr-Funktion solche Zertifikate als ungültig erklären.

Mittlerweile nutzen aber immer mehr Webseiten und Dienste die Verschlüsselung, so dass diese Sperrlisten immer länger werden und der Betrieb teurer wird. Allerdings müssen nur Zertifikate zurückgezogen werden, die noch gültig sind. Wer Zertifikate für z.B. 5 Jahre ausstellt, muss auch 5 Jahre die CRLs bereitstellen. Wenn Zertifikate aber kürzer gültig sind, dann reduziert sich auch der Aufwand für die Prüfung. Alternative Zertifizierungsstellen wie Let's Encrypt nutzen sogar eine sehr viel kürzere Gültigkeitsdauer von 90 Tagen. Zum 1. September stellen aber die bekannten Browser aber auch ihre Akzeptanz der Gültigkeit um.

Zertifikate, die nach dem 1. Sep 2020 ausgestellt werden, dürfen maximal 398 Tage gültig sein, damit moderne Browser nicht warnen.

Nur früher ausgestellte Zertifikate dürfen noch länger gültig sein. Wer aber nun 5 Jahre o.ä. nutzt, wird schon heute Probleme mit Browsern haben, die z.B. nur 825 Tage (Firefox) erlauben.

Richten Sie sich darauf ein, dass für einen sichereren Betrieb auch einmal im Jahr ein Zertifikat ersetzt werden muss. Führen Sie daher eine Liste aller Zertifikate und deren Verwenden, überwachen Sie dieses und denken Sie über ein automatisches Rollout nach.

Hier eine Liste der Browser und ich gehe davon aus, dass z.B. Apple den Code schon verteilt hat und er ab dem 1. Sep 2020 aktiv wird.

Browser Version Gültigket

Mozilla Firefox

?

825 -> 398 Tage

Apple IOS,  iPadOS, macOS, tvOS, and watchOS

Alle

398 Tage

Google Chromium

Diese Änderung dürfte alle Browser betreffen, die Chromium einsetzen, d.h. Google Chrome aber auch Microsoft Edge und einige andere Browser, sobald Sie auf Version 85 angehoben wurden

85+

398 Tage

Weitere Browser und Clients

?

?

Aktionsplan

Die Reduzierung der maximalen Gültigkeit kommt nicht schlagartig, sondern Stammzertifizierungsstellen stellen spätestens ab dem 1. Sep 2020 keine Zertifikate mehr aus, die länger als 398 Tage gültig sind. Meist werden es wohl 397 Tage sein und das ist immer noch mehr als 365/366 Tage eines Jahres. Sie können sich aber drauf einstellen, dass sie in Zukunft dann jedes Jahr solche extern gekauften Zertifikate verlängern dürfen. Wenn das nicht automatisch wie bei Let's Encrypt funktioniert, dann gibt es in der Zukunft etwas mehr zu tun.

Wenn Sie eine eigene PKI betreiben, d.h. eine interne Zertifizierungsstelle (Private CA) für die Verwaltung von internen Zertifikaten, dann sollten sie auch hier prüfen, wie sie den Wechsel auf das 398 Tage-Limit umsetzen. Es sei denn die Browser haben eine Ausnahme eingeführt:

Chromium: Quelle: https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md
This will only apply to TLS server certificates from CAs that are trusted in a default installation of Google Chrome, commonly known as “publicly trusted CAs”, and will not apply to locally-operated CAs that have been manually configured

Firefox  Quelle: https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/
We intend to update Mozilla’s Root Store Policy to reduce the maximum lifetime of TLS certificates from 825 days to 398 days, with the aim of protecting our user’s HTTPS connections.
Klar ist aber nicht, ob eigene Firmen-Stammzertifikate und davon ausgestellte Zertifikate länger gültig sein dürften.

Sie sollten also schon mal drauf vorbereitet sein, wenn sie ab dem 1. Sep 2020 neue Zertifikate bekommen, die länger gültig sind.

Weitere Links