Apple möchte die Laufzeit von TLS-Zertifikaten ab 2027 auf zehn Tage begrenzen. Das hat der Konzern dem CA/Browser Forum vorgeschlagen. Die Zertifikate werden zur Verschlüsselung der HTTPS-Verbindungen zwischen Webserver und Client verwendet. Eine Verkürzung der Laufzeit würde, so die Befürchtung vieler Kritiker, Prozesse zur Verlängerung erschweren – Befürworter pochen hingegen auf nachweisbare Sicherheitsgewinne.
Anzeige
TLS- oder SSL-Zertifikate, die formal X.509-Zertifikate heißen, sind derzeit maximal dreizehn Monate (398 Tage) gültig, die häufig verwendeten kostenlosen Zertifikate von "Let's Encrypt" lediglich 90 Tage. Server-Administratoren, die auf Let's Encrypt setzen, verwenden zur Erneuerung daher häufig automatisierte Werkzeuge, die auf dem ACME-Protokoll (Automatic Certificate Management Environment) aufbauen. Solche Automatismen sind weniger fehlerträchtig als händische Prozesse.
In einem auf Github veröffentlichten Abstimmungsvorschlag, dem sogenannten Ballot SC-081, legt Apple den Zeitplan für die Laufzeitverkürzung dar. Beginnend mit dem 15. September 2025 solle die Gültigkeitsdauer schrittweise von derzeit 398 auf künftig 10 Tage gesenkt werden.
| Zeitpunkt | Maximale Laufzeit in Tagen |
| aktuell | 398 |
| 15. September 2025 | 200 |
| 15. September 2026 | 100 |
| 15. April 2027 | 45 |
| 15. September 2027 | 10 |
Google hatte bereits im vergangenen Jahr versucht, die Laufzeit aller TLS-Zertifikate auf 90 Tage zu beschränken, war damit aber nicht überall auf Gegenliebe gestoßen. Von der seinerzeit deutlich formulierten Idee ist das Google-Team jedoch mittlerweile abgerückt. Die entsprechende Projekt-Seite enthält lediglich den vagen Passus, Google "untersuche die Auswirkungen einer Reduktion von 397 Tagen auf 90 Tage oder weniger". Noch im September dieses Jahres hieß es, man plane die entsprechende Verkürzung in Chrome einzuführen oder zumindest dem CA/Browser Forum vorzuschlagen.
Auch Apples Vorschlag trifft nicht nur auf Gegenliebe. In der lebhaften Diskussion zum Vorschlag auf GitHub bilden sich die gewohnten Demarkationslinien zwischen Verfechtern der Verkürzung und entschiedenen Gegnern, oft Server-Administratoren. Während letztere Argumente wie schlechte Wartbarkeit, fehlende Updates für IoT-Geräte oder auch Auswirkungen auf Regionen ohne dauerhaften Internetzugang ins Feld führen, springt die Wissenschaft den Befürwortern bei. In einer Untersuchung wiesen US-Wissenschaftler nach, dass eine Verkürzung der Zertifikatslaufzeit auf 90 Tage den Missbrauch verwaister Zertifikate um 75 Prozent senkt.
Anzeige
Auch unter den Zertifizierungsstellen, die ihr Geschäftsmodell durch Automatisierung und verkürzte Laufzeiten in Gefahr sehen, ist die Meinung uneinheitlich. Sectigo, die derzeit zweitgrößte CA nach Let's Encrypt, unterstützt den Vorschlag ausdrücklich und mahnt, es sei Zeit, die Zertifikatsverwaltung zu automatisieren – wohlgemerkt nicht ganz uneigennützig, sind eben diese Automatisierungslösungen doch ein wichtiges Standbein für Sectigo.
(
Kommentare