Certificate Lifetime ab 1. Sep 2020
Am 1. Sep 2020 werden die neuen Browser keine Zertifikate mehr als gültig ansehen, deren Gültigkeit länger als 398 Tage ist. Das betrifft nicht nur Webshops und öffentliche Webseiten sondern auch interne Webseiten, die von einer eigenen RootCA mit Zertifikaten ausgestatten werden. Ich möchte ihnen aus meiner Sicht erklären, warum diese Änderung sinnvoll ist.
IT sie so vielfältig, dass ich gar nicht
alle Bereiche beschreiben kann, die unter Office 365
Consultants, Managed Service Mitarbeiter, Entwickler etc.
laufen. Stellen Sie meinen Kollegen und mir einfach mal vor,
was sie bewegt und was sie bewegen wollen. Wir haben ganz
viele Aufgaben, an denen Sie sich messen können. z.B. ein
Rollout-Management für Zertifkate?
https://www.netatwork.de/unternehmen/karriere/#stellenangebote
Wen betrifft es?
Zertifikate sind die Schlüsselkomponenten beim Einsatz von Verschlüsselung per HTTPS, SMTPS, STARTTLS, POP3S, IMAP4S,SSH und vielen anderen Protokollen. Der Client verbindet sich mit dem Server und der Server liefert eine Zertifikat mit einem öffentlichen Schlüssel aus. Der Client prüft natürlich den Namen im Zertifikat, die Gültigkeitsdauer und den Herausgeber des Zertifikats. Das System ist nur sicher, wenn die vertrauenswürdigen Stammzertifizierungsstellen ihren Job korrekt ausführen. Sollte ein Zertifikat abhanden kommen, dann sollte die PKI über die Sperr-Funktion solche Zertifikate als ungültig erklären.
Mittlerweile nutzen aber immer mehr Webseiten und Dienste die Verschlüsselung, so dass diese Sperrlisten immer länger werden und der Betrieb teurer wird. Allerdings müssen nur Zertifikate zurückgezogen werden, die noch gültig sind. Wer Zertifikate für z.B. 5 Jahre ausstellt, muss auch 5 Jahre die CRLs bereitstellen. Wenn Zertifikate aber kürzer gültig sind, dann reduziert sich auch der Aufwand für die Prüfung. Alternative Zertifizierungsstellen wie Let's Encrypt nutzen sogar eine sehr viel kürzere Gültigkeitsdauer von 90 Tagen. Zum 1. September stellen aber die bekannten Browser aber auch ihre Akzeptanz der Gültigkeit um.
Zertifikate, die nach dem 1. Sep 2020 ausgestellt werden, dürfen maximal 398 Tage gültig sein, damit moderne Browser nicht warnen.
Nur früher ausgestellte Zertifikate dürfen noch länger gültig sein. Wer aber nun 5 Jahre o.ä. nutzt, wird schon heute Probleme mit Browsern haben, die z.B. nur 825 Tage (Firefox) erlauben.
Richten Sie sich darauf ein, dass für einen sichereren Betrieb auch einmal im Jahr ein Zertifikat ersetzt werden muss. Führen Sie daher eine Liste aller Zertifikate und deren Verwenden, überwachen Sie dieses und denken Sie über ein automatisches Rollout nach.
Hier eine Liste der Browser und ich gehe davon aus, dass z.B. Apple den Code schon verteilt hat und er ab dem 1. Sep 2020 aktiv wird.
Browser | Version | Gültigket |
---|---|---|
Mozilla Firefox
|
? |
825 -> 398 Tage |
Apple IOS, iPadOS, macOS, tvOS, and watchOS
|
Alle |
398 Tage |
Google ChromiumDiese Änderung dürfte alle Browser betreffen, die Chromium einsetzen, d.h. Google Chrome aber auch Microsoft Edge und einige andere Browser, sobald Sie auf Version 85 angehoben wurden |
85+ |
398 Tage |
Weitere Browser und Clients |
? |
? |
Aktionsplan
Die Reduzierung der maximalen Gültigkeit kommt nicht schlagartig, sondern Stammzertifizierungsstellen stellen spätestens ab dem 1. Sep 2020 keine Zertifikate mehr aus, die länger als 398 Tage gültig sind. Meist werden es wohl 397 Tage sein und das ist immer noch mehr als 365/366 Tage eines Jahres. Sie können sich aber drauf einstellen, dass sie in Zukunft dann jedes Jahr solche extern gekauften Zertifikate verlängern dürfen. Wenn das nicht automatisch wie bei Let's Encrypt funktioniert, dann gibt es in der Zukunft etwas mehr zu tun.
Wenn Sie eine eigene PKI betreiben, d.h. eine interne Zertifizierungsstelle (Private CA) für die Verwaltung von internen Zertifikaten, dann sollten sie auch hier prüfen, wie sie den Wechsel auf das 398 Tage-Limit umsetzen. Es sei denn die Browser haben eine Ausnahme eingeführt:
Chromium: Quelle:
https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md
This will only apply to TLS server certificates from CAs
that are trusted in a default installation of Google Chrome,
commonly known as “publicly trusted CAs”, and will not apply
to locally-operated CAs that have been manually configured
Firefox Quelle:
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/
We intend to update Mozilla’s Root Store Policy to reduce
the maximum lifetime of TLS certificates from 825 days to
398 days, with the aim of protecting our user’s HTTPS
connections.
Klar ist aber nicht, ob eigene Firmen-Stammzertifikate und
davon ausgestellte Zertifikate länger gültig sein dürften.
Sie sollten also schon mal drauf vorbereitet sein, wenn sie ab dem 1. Sep 2020 neue Zertifikate bekommen, die länger gültig sind.
Weitere Links
- Let's Encrypt
- Private CA
- About upcoming limits on trusted certificates
https://support.apple.com/en-us/HT211025 - Ballot SC22 – Reduce Certificate Lifetimes (v2)
https://cabforum.org/2019/09/10/ballot-sc22-reduce-certificate-lifetimes-v2/#Ballot-SC22-Reduce-Certificate-Lifetimes-v2 - Certificate Lifetimes
https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md - Reducing TLS Certificate Lifespans to 398 Days
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/ - May 2020 CA Communication
https://ccadb-public.secure.force.com/mozillacommunications/CACommResponsesOnlyReport?CommunicationId=a051J000042AUSv&QuestionId=Q00105,Q00106,Q00107 - SC31 - Browser Alignment #195
https://GitHub.com/cabforum/documents/pull/195 - Apple Limits SSL/TLS Certificate Lifetimes to 398 Days
https://www.ssl.com/blogs/apple-limits-ssl-tls-certificate-lifetimes-to-398-days/#:~:text=Apple%20announced%20this%20week%20that,a%20year%20and%20a%20month).