Wie lange können digitale Zertifikate gültig sein?
Die Gültigkeitsdauer digitaler Zertifikate wird von den Organisationen festgelegt, die sie akzeptieren, und entspricht immer den Anforderungen des CA/Browser-Forums, einer freiwilligen Gruppe von Zertifizierungsstellen (CAs), Anbietern von Internetbrowser-Software und Lieferanten anderer Anwendungen, die digitale Zertifikate nach X.509 v.3 für SSL/TLS, Code Signing und S/MIME verwenden.
Die Gültigkeitsdauer von Zertifikaten wurde im Laufe der Zeit angepasst und wird in Kürze erneut angepasst. Wenn eine Software oder eine Website ein abgelaufenes Zertifikat erhält, kann sie es nicht authentifizieren und lehnt die Annahme ab, was zu erheblichen Betriebsstörungen führt.
Inhaltsverzeichnis
Was ist ein digitales Zertifikat?
Die Vorteile digitaler Zertifikate und wie sie verwendet werden
Laufen digitale Zertifikate ab?
Googles Vorschlag für eine Gültigkeitsdauer von 90 Tagen
Vorteile kürzerer Gültigkeitszeiträume
Wie kann ich ein abgelaufenes Zertifikat reparieren?
Bereiten Sie sich auf kürzere Gültigkeitszeiträume vor und nutzen Sie die Automatisierung mit Sectigo
Im Folgenden erfahren Sie, was digitale Zertifikate sind, welche Vorteile sie bieten, wie lange sie gültig sind, wie Sie feststellen können, wann sie abgelaufen sind, wie Sie ein abgelaufenes Zertifikat reparieren können und welche 47-tägige Gültigkeitsfrist ansteht.
Was ist ein digitales Zertifikat?
Ein digitales Zertifikat ist eine Datei, die die Authentizität eines elektronischen Systems, z. B. eines Geräts, Servers oder Benutzers, mithilfe von Public-Key-Kryptografie und der Public-Key-Infrastruktur (PKI) nachweist.
Durch die Einführung dieser Identifizierungsmethode für Geräte und Benutzer können Organisationen die Sicherheit ihrer Netzwerke gewährleisten. Ein beliebter Typ eines digitalen Zertifikats ist ein SSL/TLS-Zertifikat, das zur Bestätigung der Authentizität einer Website für einen Webbrowser verwendet wird.
Digitale Zertifikate enthalten identifizierbare Informationen wie Domainnamen, Organisation, Ort und Geräteinformationen wie IP-Adresse oder Seriennummer. Sie enthalten eine Kopie eines öffentlichen Schlüssels, der einer digitalen Signatur des Zertifikatsinhabers entspricht. Dieser muss mit einem entsprechenden privaten Schlüssel abgeglichen werden, um zu überprüfen, ob er echt ist und die Informationen im Zertifikat korrekt sind.
Ein von Zertifizierungsstellen (CAs) auf der Grundlage dieses Schlüsselpaars ausgestelltes Zertifikat mit öffentlichem Schlüssel wird zum Signieren von Zertifikaten verwendet, um die Identität des anfragenden Geräts oder Benutzers zu überprüfen. Ohne den richtigen Verschlüsselungsschlüssel ist diese Paarung nicht möglich.
Zu diesen gängigen digitalen Zertifikaten, die Sie vielleicht kennen, gehören:
Sofern nicht anders angegeben, werden in diesem Artikel SSL/TLS-Zertifikate behandelt.
Die Vorteile digitaler Zertifikate und wie sie verwendet werden
Digitale Zertifikate sind für verschiedene Arten von Unternehmen von Vorteil, die die Cybersicherheit erhöhen und alle erforderlichen Vorschriften erfüllen möchten. Die Hauptnutzer dieser Zertifikate lassen sich in die Kategorien Einzelpersonen, Organisationen und Websites einteilen.
Um diese Zertifikate ausstellen zu können, benötigen Zertifizierungsstellen bestimmte Informationen, die ihnen über eine Zertifikatsignierungsanforderung zur Verfügung gestellt werden. Sobald diese Informationen validiert wurden, werden sie mit einem Schlüssel signiert und das Zertifikat wird an den Antragsteller ausgestellt.
Dieses Zertifikat kann dann verwendet werden, um die Identität des Eigentümers zu überprüfen und sicherzustellen, dass der Eigentümer tatsächlich den öffentlichen Schlüssel besitzt, während der Client authentifiziert wird, oder um die Anmeldeinformationen einer Website bereitzustellen. Dies ist für viele Arten von digitalen Transaktionen wichtig. Ein Verbraucher ist eher bereit, seine Kreditkarteninformationen an eine Website weiterzugeben, die ihre Identität gegenüber seinem Browser/Endpunkt nachweisen kann. Sie gehen implizit davon aus, dass ihre sensiblen Informationen geschützt sind und dass die Website private Daten verschlüsselt.
Digital signierte Zertifikate sind auch hilfreich für die Sicherung von Geräten des Internets der Dinge (IoT). Diese Geräte stellen eine Verbindung zu vielen verschiedenen Webservern und Websites her, um die automatisierten Aktionen auszuführen, auf die sich die Verbraucher verlassen. Zertifikate beweisen die Identität dieser Geräte, sodass sie ihre Aufgaben ohne menschliches Zutun ausführen können.
Laufen digitale Zertifikate ab?
Die Gültigkeitsdauer digitaler Zertifikate ist für jeden Zertifikatstyp spezifisch. Derzeit sind Code Signing-Zertifikate bis zu drei Jahre gültig, während SSL-Zertifikate etwas mehr als ein Jahr gültig sind.
Was bestimmt die Gültigkeitsdauer?
Letztendlich bestimmen die Organisationen, die die Zertifikate akzeptieren, die Gültigkeitsdauer. Diese stimmen in der Regel mit den Empfehlungen des CA/Browser-Forums überein.
Das CA/Browser-Forum tritt zusammen, um über eine Vielzahl von Themen abzustimmen, wobei der Schwerpunkt häufig auf einer Reihe von Grundanforderungen für die Ausstellung vertrauenswürdiger digitaler Zertifikate liegt. Das CA/Browser-Forum ist kein Leitungsgremium und hat keine Durchsetzungsbefugnisse. Die Akzeptanzstellen haben das letzte Wort und können die Empfehlungen der Organisation mehr oder weniger streng umsetzen.
Ein interessanter Aspekt digitaler Zertifikate ist, dass der Lebenszyklus von Zertifikaten, einschließlich der maximalen Gültigkeitsdauer, nicht vom Aussteller, sondern von der Akzeptanzstelle bestimmt wird, deren Bedenken und Richtlinien vom CA/Browser Forum in einem Abstimmungsprozess berücksichtigt werden. Akzeptanzstellen sind Organisationen, die Dinge wie Betriebssysteme und Browser entwickeln. Sie konzentrieren sich auf den Schutz von Endbenutzerinformationen und nicht auf organisatorische Prozesse. Unternehmen wie Microsoft und Google lehnen daher Zertifikate, die nicht ihren Kriterien entsprechen, lieber vollständig ab und verweigern vorübergehend den Zugriff, anstatt einfach alle Zertifikate zu akzeptieren.
Aktuelle Gültigkeitsdauer von SSL/TLS-Zertifikaten
Seit September 2020 können Transport Layer Security (SSL/TLS)-Zertifikate nicht länger als 13 Monate (397 Tage) ausgestellt werden. Diese Änderung wurde erstmals von Apple auf dem CA/Browser Forum angekündigt.
Vor 2015 konnte man das Zertifikat mit einer Gültigkeitsdauer von bis zu fünf Jahren erhalten. Diese wurde 2015 auf drei und 2018 auf zwei Jahre reduziert. Ende 2019 wurde im CA/Browser-Forum eine Abstimmung vorgeschlagen, die die Gültigkeit auf ein Jahr reduziert hätte, und wurde abgelehnt. Diese Entscheidung wurde dann durch eine Änderung der Richtlinien von Apple im folgenden Jahr aufgehoben.
Extended Validation (EV)-Zertifikate haben traditionell andere Ablaufdaten und Zertifikatsverwaltungsprozesse als Domain Validation (DV)- oder Organization Validation (OV)-Zertifikate, obwohl bei SSL-Zertifikaten die Gültigkeitsdauer gleich ist.
Wie erfahre ich, wann mein SSL/TLS-Zertifikat abläuft?
SSL-Zertifikate laufen maximal 398 Tage nach ihrem Ausstellungsdatum ab, aber die meisten Zertifizierungsstellen legen das Ablaufdatum früher fest, oft bei etwa 395 Tagen. Es ist wichtig, diese zu erneuern, BEVOR sie ablaufen. Ein Zuwarten führt zu schwerwiegenden Störungen für Organisationen und ihre Kunden. Das Auslaufen von Zertifikaten wird von den Ausstellern klar kommuniziert und jeder hat seinen eigenen Prozess zur Erneuerung von Zertifikaten.
Zertifizierungsstellen benachrichtigen in der Regel vor dem Ablaufdatum, daher empfiehlt es sich, das Zertifikat bei Erhalt der ersten Benachrichtigung zu erneuern, um Zertifikatsausfälle zu vermeiden.
Häufig muss ein Antragsteller für die Erneuerung eines Zertifikats Teile der in seinem alten Zertifikat enthaltenen Informationen, die er in dem neuen Zertifikat sehen möchte, erneut authentifizieren. Der Prozess hierfür ähnelt dem ursprünglichen Ausstellungsprozess.
Googles Vorschlag für eine Gültigkeitsdauer von 90 Tagen
Anfang März 2023 kündigte Google während der persönlichen Treffen des CA/B-Forums seine Absicht an, die maximale Gültigkeitsdauer für SSL-Zertifikate von 398 Tagen auf 90 Tage zu reduzieren. Diese Änderung wird die Verwaltung digitaler Zertifikate revolutionieren, und es ist entscheidend, dass Unternehmen jetzt mit den Vorbereitungen beginnen, da die aktuellen Richtlinien und Praktiken im Zusammenhang mit der Zertifikatsverwaltung neu bewertet und aktualisiert werden müssen, um sie an diesen neuen Standard anzupassen.
Warum die Änderung?
Der Hauptgrund für den Vorschlag von Google ist die Verbesserung der Sicherheit. Kürzere Laufzeiten von Zertifikaten bedeuten, dass Zertifikate häufiger erneuert werden müssen, wodurch sichergestellt wird, dass die Verschlüsselungsstandards auf dem neuesten Stand bleiben und Schwachstellen umgehend behoben werden. Diese Änderung verringert die Möglichkeit für Angreifer, kompromittierte Zertifikate auszunutzen, und verbessert die Cybersicherheit insgesamt erheblich. Häufige Erneuerungen bedeuten auch, dass Schwachstellen in den Verschlüsselungsalgorithmen oder Schlüsselverwaltungspraktiken schnell behoben werden können, wodurch der höchstmögliche Schutz für sensible Daten gewährleistet wird.
Die automatisierte Erneuerung von Zertifikaten wird wichtiger denn je
Angesichts der vorgeschlagenen kürzeren Gültigkeitsdauer wird die Bedeutung der Automatisierung von Zertifikatserneuerungen von größter Bedeutung sein. Manuelle Erneuerungsprozesse können zu Fehlern und Auslassungen führen, die erhebliche Störungen und Sicherheitsrisiken für Unternehmen verursachen können. Da der Erneuerungsprozess viel häufiger stattfindet, werden diese Risiken zunehmen. Automatisierte Systeme tragen dazu bei, dass Erneuerungen korrekt und rechtzeitig abgeschlossen werden, wodurch die Wahrscheinlichkeit von Dienstunterbrechungen aufgrund abgelaufener Zertifikate verringert wird.
Durch die Automatisierung werden außerdem IT-Ressourcen freigesetzt, sodass sich die Teams auf wichtigere Aufgaben konzentrieren können, anstatt sich mit dem sich wiederholenden und zeitaufwändigen Prozess der manuellen Erneuerung von SSL-Zertifikaten zu befassen. Darüber hinaus können automatisierte Certificate Lifecycle Management (CLM)-Tools Echtzeitüberwachung und Warnmeldungen bereitstellen, sodass Unternehmen stets über bevorstehende Abläufe informiert sind und umgehend handeln können.
Die Automatisierung von Prozessen zur Erneuerung von Zertifikaten verbessert nicht nur die Effizienz, sondern erhöht auch die Sicherheit. Automatisierte Systeme sind weniger anfällig für menschliche Fehler und wenden stets die neuesten Sicherheitspraktiken und -richtlinien an. Dies ist besonders bei kürzeren Gültigkeitszeiträumen von entscheidender Bedeutung, da die Häufigkeit von Erneuerungen zunimmt und die Fehlerquote sinkt.
Vorteile kürzerer Gültigkeitszeiträume
Bei kurzen Gültigkeitszeiträumen können Änderungen an Algorithmen größere Auswirkungen haben. So wurde beispielsweise vor einigen Jahren SHA-1 zugunsten von SHA-2 eingestellt. Zu diesem Zeitpunkt hatten Zertifikate eine Gültigkeitsdauer von mehreren Jahren, oft drei oder mehr. Da Hashing-Algorithmen zum Zeitpunkt der Zertifikatserstellung ausgewählt und nicht verwendet werden, bedeutete dies, dass einige Zertifikate erst Jahre später den neuen, sichereren Algorithmus verwendeten. Die Verschlüsselung von Daten mit veralteten Algorithmen kann dazu führen, dass wichtige Informationen offengelegt werden.
Kurze Gültigkeitszeiträume bieten eine hervorragende Lösung für dieses Problem, da Algorithmusänderungen bei der Erneuerung automatisch implementiert werden können, wodurch die Wartezeit für die Übernahme vernachlässigbar wird.
Wie kann ich ein abgelaufenes Zertifikat reparieren?
Zertifizierungsstellen verfügen über Mechanismen, um abgelaufene Zertifikate zu widerrufen. Dies geschieht über eine sogenannte Zertifikatsperrliste (Certificate Revocation List, CRL), mit der eine Zertifizierungsstelle die Zertifikate nachverfolgen kann, die abgelaufen sind oder aus irgendeinem Grund widerrufen wurden.
Um Ihre SSL-Zertifikate automatisch zu verlängern, müssen Sie möglicherweise Informationen erneut validieren. Dies kann über Certificate-Lifecycle-Management-Plattformen wie Sectigo's Certificate Manager oder SCM Pro erfolgen. Wenn Sie mehr über die Funktionsweise unserer Plattformen oder den Kauf neuer SSL-Zertifikate erfahren möchten, wenden Sie sich an unser Team bei Sectigo.
Bereiten Sie sich auf kürzere Gültigkeitszeiträume vor und nutzen Sie die Automatisierung mit Sectigo
Bereiten Sie sich jetzt auf 47-Tage-SSL-Zertifikate vor, um Probleme in naher Zukunft zu vermeiden. Sorgen Sie für nahtlose Übergänge zu kürzeren Gültigkeitszeiträumen, minimieren Sie das Risiko von Dienstunterbrechungen und sorgen Sie für eine robuste Sicherheit in Ihrem Unternehmen. Wenden Sie sich noch heute an Sectigo, um zu erfahren, wie wir Ihrem Unternehmen dabei helfen können, die Prozesse zur Erneuerung von Zertifikaten zu optimieren und die Compliance mühelos aufrechtzuerhalten.