Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Web-PKI: Let's Encrypt verkürzt Laufzeit von Zertifikaten auf 45 Tage

94 Aufrufe

Kostenlose TLS-Zertifikate von Let’s Encrypt (LE) sind bald wesentlich kürzer gültig als gewohnt: Ihre Laufzeit sinkt von derzeit 90 Tagen auf die Hälfte. Als Certificate Authority (CA) setzt Let’s Encrypt damit eine Änderung der „Baseline Requirements“ um, die die Vergabe von Zertifikaten für die Web-PKI regeln. Zunächst schaltet LE im kommenden Mai einen Testbetrieb frei.

Am 13. Mai 2026 geht es los: Wer möchte, kann ab diesem Tag Zertifikate mit einer Laufzeit von 45 Tagen bestellen und muss dafür das optionale Zertifikatsprofil „tlsserver“ nutzen. Am 10. Februar 2027 sinkt die Laufzeit für alle neu ausgestellten Zertifikate dann zunächst auf 64 Tage und gut ein Jahr später, am 16. Februar 2028, auf 45 Tage.

Die meisten Administratoren, die für ihre Webserver die Zertifikate von Let’s Encrypt verwenden, dürften von der Änderung wenig bemerken: Ihre Automatisierung zur Erneuerung läuft künftig alle anderthalb statt drei Monate. Um derlei automatischen Helferlein zu assistieren, gibt es künftig eine Protokollerweiterung für ACME (Automatic Certificate Management Environment), die ACME Renewal Information (ARI).

Von einer manuellen Erneuerung der Zertifikate rät das Projekt schon seit langer Zeit ab, das Verfahren sei zu fehlerbehaftet und müsste nun doppelt so oft durchgeführt werden. Zudem sollten Administratoren sicherstellen, dass sie durch Monitoring-Systeme alarmiert werden, sobald eine Erneuerung fehlschlägt, empfiehlt Let’s Encrypt im Ankündigungs-Blogpost.

Wer sich noch immer mit der Automatisierung schwertut, goutiert womöglich die neue Verifizierungsmethode „DNS-PERSIST-01“. Hier muss ein DNS-Eintrag zur Überprüfung nur noch einmalig und nicht bei jeder Zertifikatserneuerung gesetzt werden. Allerdings muss DNS-PERSIST-01 noch durch die relevanten Gremien, also die IETF und das CA/Browser Forum, ratifiziert werden.

Hintergrund der Änderungen ist ebenfalls der mächtige Zusammenschluss der Browserhersteller und CAs. Vor allem Chrome, Mozilla und Co. sehen in langen Zertifikatslaufzeiten große Sicherheitsrisiken und betreiben seit Jahren Lobbyarbeit, die im vergangenen Herbst zur Entscheidung des CA/B geführt hat, die Laufzeiten verbindlich zu kappen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Autor: Heise
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Industrielle Kontrollsysteme: Iskra iHUB bleibt vo...
39C3 ist aufgegleist: Der Fahrplan des Chaos Commu...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 08. Dezember 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung