Google plant, die Lebensdauer von SSL-Zertifikaten auf ein Jahr zu verkürzen
Google plant, einige Änderungen an der Lebensdauer von SSL-Zertifikaten vorzunehmen. Die Zertifikate sind in diesem Fall nur für ein Jahr und nicht für zwei Jahre gültig.
Der Google-Mitarbeiter Ryan Sleevi stellte die Idee auf einem F2F-Treffen des CA / B-Forums im Juni dieses Jahres vor. Für diejenigen, die es nicht wissen, ist das CA / B-Forum im Grunde eine Plattform, die sich aus Browser-Anbietern, Betriebssystemen und Zertifizierungsstellen zusammensetzt. Dies ist eine inoffizielle Gruppe, die für die Festlegung von Branchenrichtlinien für digitale Zertifikate verantwortlich ist.
Brower-Anbieter stimmten für die Entscheidung
Dem Vorschlag zufolge wären alle neuen SSL-Zertifikate etwa ein Jahr und einen Monat (397 Tage) gültig. Insbesondere haben alle bestehenden Zertifikate eine Lebensdauer von mehr als zwei Jahren (825 Tage). Der Vorschlag wurde von einer Mehrheit der Browserhersteller unterstützt.
Die Zertifizierungsstellen sind jedoch gegen die Entscheidung. Es ist nicht das erste Mal, dass eine solche Idee zur Diskussion steht. Die SSL-Zertifikate waren ursprünglich rund acht Jahre gültig. Die zunehmenden Sicherheitsbedrohungen zwangen die Behörden, sie auf drei und dann zwei Jahre nach einem großen Widerstand zu reduzieren.
Das CA / B-Forum lehnte einen ähnlichen Vorschlag ab, der bereits 2017 vorgelegt wurde. Die Idee war, die Lebensdauer auf ein Jahr zu verkürzen. Die Zertifizierungsstellen sind der Ansicht, dass es unfair ist, die Lebensdauer von SSL-Zertifikaten erneut zu ändern.
Die verkürzte Lebensdauer bietet Sicherheitsvorteile
Obwohl die Zertifizierungsstellen gegen die Idee sind, bringt dies eine Menge Sicherheitsvorteile mit sich. Selbstverständlich ändern sich die Compliance-Regeln jeden Monat. Die Änderung würde Unternehmen die Umstellung auf die neuen Regeln erleichtern.
Es gibt viele Unternehmen, die ihre Systeme mit Hilfe digitaler Zertifikate schützen. Wir können nicht leugnen, dass die Änderung auch für Tausende solcher Unternehmen zusätzliche Kosten verursachen würde. Am wichtigsten ist, dass aufgrund der verkürzten Lebensdauer keine größeren Sicherheitsverbesserungen geplant sind.
Sie müssen sich immer noch mit all den böswilligen Akteuren auseinandersetzen, die regelmäßig Phishing-Angriffe planen. Es wird für sie immer schwieriger, ihre Kunden ohne sichtbare Vorteile zu schützen. Dieser Krieg zwischen Browser-Anbietern und Zertifizierungsstellen ist nichts Neues. Es ist nur eine Frage der Zeit zu sehen, ob Google mit seinen Bemühungen erfolgreich bleibt.