Apple veröffentlicht Wahlvorschlag zur Verkürzung der Lebensdauer von Zertifikaten auf 45 Tage
*Dieser Blogartikel wurde am 14.04.2025 auf der Grundlage der Abstimmung vom 04.11.2025 aktualisiert, die die neue Gültigkeitsdauer von Zertifikaten bestätigte.
Am 9. Oktober 2024, am zweiten Tag des Herbsttreffens des CA/Browser-Forums, veröffentlichte Apple auf GitHub einen Abstimmungsentwurf zur Diskussion, in dem eine schrittweise Reduzierung der maximalen Laufzeit für öffentliche SSL/TLS-Zertifikate vorgeschlagen wurde. Am 11. April 2025 wurde der von Sectigo gesponserte Wahlvorschlag von Apple ohne Gegenstimmen angenommen.
Dieser schrittweise Ansatz wird die Lebensdauer von Zertifikaten im Laufe der nächsten vier Jahre bis 2029 auf 47 Tage reduzieren und beinhaltet auch eine schrittweise Verkürzung des Wiederverwendungszeitraums für die Domain Control Validation (DCV), die schließlich alle 10 Tage eine erneute Validierung erfordert.
Ein sich beschleunigender Trend zur Verkürzung der Lebensdauer digitaler Zertifikate
Dieser Schritt von Apple folgt auf die Ankündigung von Google in seiner Roadmap „Moving Forward, Together“, die maximale Gültigkeit für öffentliche SSL/TLS-Zertifikate von 398 Tagen auf 90 Tage zu reduzieren, und zwar im Rahmen einer zukünftigen Richtlinienaktualisierung oder eines Wahlvorschlags des CA/B-Forums.
Die Annahme des aktuellen Apple-Wahlvorschlags und Googles 90-Tage-Vorschlag senden eine klare Botschaft an die Branche, da sich die beiden größten Browser für eine kürzere Lebensdauer digitaler Zertifikate einsetzen.
In dieser neuen Ära der Lebensdauer von Zertifikaten können Unternehmen Folgendes erwarten:
Warum sind diese Zahlen so, wie sie sind?
Die von Apple vorgeschlagene Lebensdauer öffentlicher Zertifikate mag auf den ersten Blick komplex erscheinen, folgt aber einer einfachen Logik: ideale Laufzeit des Zertifikats + frühes Verlängerungsfenster:
- 200 Tage = 180 Tage (6 Monate) + 20 Tage vorzeitige Verlängerung
- 100 Tage = 90 Tage (3 Monate) + 10 Tage vorzeitige Erneuerung
- 47 Tage = 42 Tage (6 Wochen) + 5 Tage vorzeitige Erneuerung
Obwohl dies logisch ist, wird die schrittweise Verkürzung der Lebensdauer von Zertifikaten vielbeschäftigten IT-Sicherheitsteams, die mit vielen Zertifikaten jonglieren müssen, die zu unterschiedlichen Zeiten ablaufen, zweifellos Kopfschmerzen bereiten. Es ist leicht vorherzusagen, dass Unternehmen, die manuelle Methoden zur Verfolgung und Überwachung des Auslaufens von Zertifikaten verwenden, bald von den sich schnell ändernden Lebensdauern von Zertifikaten überfordert sein werden. Schließlich schlägt Apple vor, dass sich die Lebenszyklen von Zertifikaten jetzt jedes Jahr ändern!
Zusätzlich zur Verkürzung der maximalen Laufzeit von Zertifikaten wird auch die Wiederverwendungsdauer von DCV wie folgt verkürzt, wenn der Vorschlag angenommen wird:
Datum | Maximale Laufzeit des Zertifikats | DCV-Wiederverwendungsdauer |
3/15/26 | 200 Tage | 200 Tage |
3/15/27 | 100 Tage | 100 Tage |
3/15/28 | 100 Tage | 10 Tage |
3/15/29 | 47 Tage | 10 Tage |
Es ist an der Zeit, das Management des Lebenszyklus von Zertifikaten zu automatisieren
Dieser Vorschlag unterstreicht, wie wichtig es für Unternehmen jeder Größe ist, ein vollautomatisches Management des Lebenszyklus von Zertifikaten (Certificate Lifecycle Management, CLM) ernsthaft in Betracht zu ziehen und umzusetzen. Für Unternehmen ist es dringend erforderlich, bei der Erneuerung von Zertifikaten einen „Set-it-and-forget-it“-Ansatz zu verfolgen, damit sich zukünftige Änderungen der Erneuerungsfenster nicht auf ihren Betrieb auswirken oder unnötige Ausfallzeiten und Ausfälle verursachen.
Sectigo unterstützt diese Initiativen von den Browsern aus voll und ganz. Unsere Entscheidung, diesen jüngsten Wahlvorschlag zu sponsern, ist ein Beweis für unser Engagement für die Integrität des WebPKI-Ökosystems und die Sicherheit unserer Kunden. Sectigo Certificate Manager (SCM) ist die umfassendste Plattform für das Management des Lebenszyklus von Zertifikaten auf dem Markt, die darauf ausgelegt ist, die SSL-Herausforderungen von morgen proaktiv anzugehen. Vereinbaren Sie noch heute eine Demo, um zu erfahren, wie Ihr Unternehmen von SCM profitieren kann, oder starten Sie eine kostenlose Testversion.