Seit September gelten neue verkürzte Laufzeiten für TLS-Zertifikate, mit denen Web-Seiten abgesichert sind. Diese dürfen nun maximal 13 Monate (397 Tage) gültig sein. Die Browser-Hersteller versprechen sich davon mehr Sicherheit. Dr. Kim Nguyen, Geschäftsführer von D-Trust, einem Unternehmen der Bundesdruckerei und Anbieter digitaler Zertifikate, ist jedoch skeptisch: „Kürzere Laufzeiten von Website-Zertifikaten können sogar zu mehr Unsicherheit im Netz führen. Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert aufgrund des zusätzlichen Aufwands die Attraktivität von TLS-Zertifikaten mit Identitätsprüfung."
Wie wichtig deren Beitrag für eine sichere Online-Kommunikation ist, zeige der Betrug bei den Corona-Soforthilfe-Anträgen im Frühjahr dieses Jahres. Der Einsatz identitätsgeprüfter Zertifikate hätte mit hoher Wahrscheinlichkeit einen Missbrauch verhindert: Die Antragsteller hätten laut Nguyen über die Anzeige der Zertifikatsinformationen feststellen können, ob sie sich auf einer vertrauenswürdigen Behörden-Webseite befinden – oder einer Phishing-Seite von Betrügern. Zudem weist Nguyen auf die politische Dimension der Verkürzung hin: „Europa setzt bei der Internet-Sicherheit auf Zertifikate mit einer gründlichen Identitätsprüfung und hoher Rechtsverbindlichkeit – von der nun vorgegebenen Verkürzung profitieren jedoch vor allem Angebote mit niedrigem Sicherheitsniveau, für den Anwender sinkt der Verbraucherschutz."
Die Entscheidung für verkürzte Laufzeiten von TLS-Zertifikaten hat das CA/Browser-Forum im Juli 2020 getroffen. Das Forum ist eine Plattform für den Austausch zwischen Zertifikatsanwendern – also beispielsweise den großen Browser-Herstellern aus den USA – und den sogenannten Certificate Authorities (CA), die Zertifikate ausstellen. Anfangs von einem Browser-Hersteller forciert, sei das gesamte Forum auf starken Druck der anderen Browser-Anbieter auf diesen Kurs eingeschwenkt. „D-Trust als europäischer CA ist von der Laufzeitverkürzung betroffen. Wir verstehen uns als Anbieter von Zertifikaten mit den höchsten Sicherheitsniveaus, also ausführlicher Identitätsprüfung – diese werden jetzt für Anwender unattraktiver", so Nguyen.
D-Trust konzentriert sich auf organisationsvalidierte und erweitert validierte Zertifikate mit Identitätsinformationen (OV-, EV- und QWAC-Zertifikate). Dabei werde die Identität des Webseitenbetreibers gründlich geprüft. Dies erfordert einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseiten-Betreiber bei Laufzeitverkürzungen lasse sich zwar durch automatisierte Prozesse vermeiden, doch könne dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es bestehe daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu sogenannten domainvalidierten Zertifikaten (DV-Zertifikate) tendieren. Bei DV-Zertifikaten unterliegt die Identität des Antragstellers im Antragsprozess keiner Überprüfung.