PSW Group: Gültigkeitsdauer von SSL-Zertifikaten soll auf 13 Monate sinken

In der Diskussion: Mehr Sicherheit für SSL-Zertifikate

23. September 2019, 12:52 Uhr   |  Von Dr. Jörg Schröper.

In der Diskussion: Mehr Sicherheit für SSL-Zertifikate

Erneut steht die Herabsetzung der Gültigkeitsdauer von SSL-Zertifikaten zur Debatte. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. Suchmaschinenriese Google plädierte im CA/B-Forum für eine Reduzierung der Gültigkeitsdauer von zwei Jahren auf 13 Monate. "Bisher handelt es sich lediglich um einen Vorschlag, der diskutiert werden muss. Wann eine Abstimmung zu dieser Planung erfolgen wird, ist noch unklar, gemunkelt wird jedoch, dass es neue Regelungen ab März 2020 geben könnte", so Patrycja Tulinska, Geschäftsführerin der PSW Group (Bild oben). Im CA/B-Forum versammeln sich die Interessengruppen der PKI-Branche: Zertifizierungsstellen sowie vertrauenswürdige Parteien, wie beispielsweise Softwarehersteller. Gemeinsam entwickeln sie Standards und Verfahren, die das öffentliche PKI-Ökosystem sicherer gestalten sollen.

"Mit der Herabsetzung der Gültigkeitsdauer von SSL-Zertifikaten soll die Sicherheit sowohl im World Wide Web als auch für Maschinenidentitäten erhöht werden", erklärt Tulinska und verdeutlicht das aktuelle Problem: "Würde beispielsweise heute ein Zertifikat kompromittiert, das eine Gültigkeit von 27 Monaten aufweist, so kann es innerhalb dieser Zeit für bösartige Zwecke missbraucht werden. Durch einen Man-in-the-middle-Angriff wäre es möglich, über die Lebensdauer des Zertifikats den Datenverkehr zwischen Benutzer und Server zu beobachten, abzufangen und zu manipulieren."

Ein kürzerer Lebenszyklus von SSL-Zertifikaten würde darüber hinaus dazu beitragen, dass Websites die aktuelle Kryptographie nebst aktuellen Hashings verwenden. Cyberkriminalität ließe sich reduzieren, denn ein gestohlenes SSL-Zertifikat würde ein Jahr früher als bisher als veraltet gelten und nutzlos werden. Es gibt jedoch auch Gegenstimmen: Die Zertifizierungsstellen (CAs) sind wenig begeistert von der Idee, die Gültigkeitsdauer von SSL-Zertifikaten noch weiter herabzusetzen und befürchten höhere Kosten. So ist beispielsweise DigiCert unsicher, ob Kosten und Aufwand einer Verkürzung der Lebensdauer wirklich im Verhältnis zum Nutzen stehen. "DigiCert argumentiert, dass die Umstellung auf eine verkürzte Laufzeit dazu führen wird, dass dem Käufer von SSL-Zertifikaten, also den Kunden der CA, höhere Kosten entstehen. Man müsse mehr Personal einsetzen, um die SSL-Zertifikate auf dem neuesten Stand zu halten oder auch um Wartungsupdates auszuführen, wenn ein SSL-Zertifikat ausläuft", so Tulinska.

So oder so: Für eine Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten auf 13 Monate gebe es diverse Argumente. Eine reine Verkürzung jedoch werde die Sicherheit nur geringfügig erhöhen - automatisierte Prozesse sowie Automationen mit entsprechendem Management für kompromittierte oder abgelaufene SSL-Zertifikate ergänzen diese Maßnahme sinnvoll, so die Expertin. Weitere Informationen stehen unter www.psw-group.de/blog/gueltigkeitsdauer-von-ssl-zertifikaten-soll-auf-13-monate-verkuerzt-werden/7127 zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Passwort geknackt: Sicherheitsforschern gelingt Hack im Klärwerk
PSW Group: Unverschlüsselte Web-Seiten bedrohen Ranking und Vertrauen
Digitale Zertifikate sind heiße Ware im Darknet

Verwandte Artikel

Authentifizierung

PSW

PSW Group