Apple hat jetzt einen Streit mit den Ausstellern von Sicherheitszertifikaten (CAs) ausgelöst. Schon im Februar entschied das Unternehmen aus Cupertino im Alleingang, in Zukunft die Gültigkeit von TLS-Zertifikaten für HTTPS-Verbindungen auf maximal 398 Tage zu beschränken. Diese Änderung soll ab September 2020 gelten, und sowohl Chrome-Hersteller Google als auch Firefox-Hersteller Mozilla äußerten inzwischen ähnliche Absichten.
Das bedeutet, dass Geräte und Browser von Apple, Google und Mozilla ab Anfang September eine Fehlermeldung anzeigen sollen, sobald ein neues TLS-Zertifikat länger als maximal 398 Tage gültig ist. Mit diesem Vorgehen verlassen alle drei Unternehmen die bisher geübte Praxis zwischen den Browserherstellern und den Certificate Authorities (CAs).
Bis jetzt hatte das CA/B Forum, ein informeller Zusammenschluss der Certificate Authorities, die Regeln festgelegt, die für die Ausstellung von TLS-Zertifikaten für die Verschlüsselung von HTTP-Traffic gelten.
Das betraf auch den Umgang der Browser mit den Zertifikaten und deren Gültigkeitsprüfung. Neu geplante Regeln wurden immer zwischen den Browseranbietern und den CAs abgesprochen und erst danach verabschiedet und von allen Mitgliedern realisiert.
Die Geschichte der Laufzeitverkürzung
Ein Thema, das in den vergangenen 15 Jahren immer wieder für Auseinandersetzungen sorgte, ist die Gültigkeitsdauer von Zertifikaten. Zu Beginn lag diese bei acht Jahren. Aber die Browseranbieter forderten immer wieder kürzere Zeiten für die Gültigkeit. Zum Schluss wurde die Gültigkeit von drei auf zwei Jahre verkürzt, und die CAs betrachteten die Angelegenheit als erledigt.
Doch schon nach einem Jahr starteten die Browserhersteller im letzten Sommer einen neuen Anlauf, der zum Ziel hatte, eine maximale Gültigkeit von einem Jahr zu erreichen.
Dieser Im September 2019 von Google eingebrachte Vorschlag scheiterte letztendlich. Zwar unterstützen alle Browseranbieter den kürzeren Zeitraum, aber 65 Prozent der CAs lehnten ihn ab.
Der Alleingang hat Folgen für Website-Admins
Im Februar schließlich beendete Apple diesbezüglich die übliche Praxis der Absprachen mit dem CA/B Forum und verkündete seine einseitige Entscheidung, vierzehn Tage schloss sich Mozilla Apples Initiative an. Am 10. Juni erklärte auch Google, dem Beispiel Apples folgen zu wollen.
Für die Betreiber von Websites führt die einseitige Änderung durch die Browserhersteller Apple, Google und Mozilla, dass sie ihre TLS-Zertifikate jetzt schon nach einem Jahr wieder erneuern müssen – und die Surfer als letzte in der Kette sollten sich ab September besser auf mehr HTTPS-Fehlermeldungen in ihren Browsers einstellen.