Ab September dürfen HTTPS-Zertifikate nur noch auf maximal ein Jahr ausgestellt werden.

Die maximale Gültigkeit von Zertifikaten für den Identitätsnachweis im Web wird weiter verkürzt – im nächsten Schritt auf ein Jahr. Zwar scheiterte im September eine Abstimmung darüber im CA/Browser Forum noch am Widerstand der Zertifizierungsstellen. Doch im März preschte Apple vor und erklärte, Safari werde nach dem 1. September 2020 ausgestellte Zertifikate nur noch akzeptieren, wenn sie nicht länger als 1 Jahr gültig sind.

Jetzt ziehen auch Mozilla und Google nach und schaffen damit Fakten. Früher waren Laufzeiten von 5 Jahren nicht ungewöhnlich. Aktuell dürfen Zertifikate noch auf 2 Jahre ausgestellt werden.

Der Hauptgrund für die stetige Verkürzung der Zertifikats-Lebensdauer ist die Tatsache, dass es keinen allgemein funktionierenden Widerrufsmechanismus gibt, über den man ein Zertifikat sperren könnte. Sperrlisten (CRLs) und das Online Certificate Status Protocol (OCSP) haben sich als ungeeignet erwiesen und sind mittlerweile standardmäßig abgeschaltet.

Das mittlerweile den Markt dominierende Lets Encrypt ist der Vorreiter und stellt die Zertifikate ohnehin nur auf 3 Monate aus. Die Verlängerung erfolgt dann automatisiert via ACME. Laut Mozilla haben sich aber auch die anderen Zertifizierungsstellen bereit erklärt, ab dem 1. September nur noch Zertifikate auf 398 Tage auszustellen. Angesichts der Machtdemonstration der Browser-Hersteller bleibt ihnen wohl auch nicht viel anderes übrig.

Als Web-Seitenbetreiber muss man nichts weiter tun –, auch wenn man noch ein Zertifikat mit längerer Gültigkeit in Betrieb hat. Die neue Regel gilt nur für Zertifikate, die nach dem 1. September 2020 ausgestellt werden.