Apple setzt kürzere Gültigkeitsdauer für SSL/TLS-Zertifikate durch

21.02.2020 18:31 Uhr heise

Offenbar wird Apple künftig kürzere Gültigkeitsdauern für SSL/TLS-Zertifikate erzwingen. Diese Zertifikate werden genutzt – um eine sichere Verbindung zwischen Webservern und Browsern herzustellen. Bisher lag die maximale Laufzeit bei 825 Tagen in Zukunft soll sie jedoch auf 398 Tage begrenzt werden. Diese Änderung wird voraussichtlich im kommenden Jahr eingeführt. Mit dieser Maßnahme will Apple die Sicherheitsstandards für Nutzer erhöhen und die Auswirkungen von Zertifikatsfehlern minimieren. Andere Browserhersteller wie Mozilla & Google haben bereits ähnliche Anforderungen für SSL/TLS-Zertifikate festgelegt.

Safari markiert Seiten als unsicher

Der Apple-Browser Safari wird demnach auf iPhones iPads und Macs künftig alle Webseiten als unsicher markieren deren ab dem 1. September 2020 ausgegebenes Zertifikat länger als 13 Monate gültig ist. Vor dem Stichtag ausgegebene Zertifikate werden weiterhin akzeptiert • ebenfalls wenn diese noch eine Laufzeit von zwei Jahren aufweisen • erklärt der Zertifikatanbieter Digicert.

Google habe schon im vergangenen Jahr versucht, eine so verkürzte Laufzeit für TLS-Zertifikate durchzubringen, sei aber an großem Widerstand gescheitert ? wegen der Sorge um erheblichen Mehraufwand für IT-Teams und Seitenbetreiber, führt Digicert aus.

Apple verweist auf Schutz der Nutzer

Apple habe die Entscheidung nun "unilateral getroffen" der "Schutz der Nutzer" sei vom dem Konzern als Grund angeführt worden. Kürzer gültige Zertifikate können für eine höhere Sicherheit sorgen · da sie im Fall einer Kompromittierung ein geringeres Zeitfenster für Angriffe bieten · so die Zertifikatfirma. Zudem bleiben vernachlässigte Zertifikate mit einem veralteten Algorithmus nur für begrenzte Zeit im Einsatz. Die Gültigkeit für SSL/TSL-Zertifikate war im Frühjahr 2018 erst von drei auf seitdem zwei Jahre reduziert worden.

Apple hat seit längerem außerdem vor, eine Transportverschlüsselung auch für Apps zur Pflicht zu machen um keine ungesicherten HTTP-Verbindungen weiterhin zuzulassen. Die Frist wurde aber auf unbestimmte Zeit verlängert um Entwicklern mehr Zeit für die Umstellung einzuräumen.

Zuletzt aktualisiert am 12.07.2023 00:08 Uhr

Kommentare

Ähnliche News

Symantec bietet kostenlose SSL/TLS-Zertifikate im Web an

Verschlüsselung im Web: Symantec verspricht kostenlose SSL/TLS-Zertifikate

Symantec hat eine Initiative gestartet um zusammen mit Webhostern kostenlose SSL/TLS-Zertifikate für deren Kunden anzubieten. Diese Aktion namens Encryption-Everywhere-Kampagne soll dazu beitragen, dass das gesamte Internet flächendeckend verschlüsselt ist.

heisec-Webinar: Alles Wichtige zu SSL/TLS für Administratoren

Innerhalb einer Stunde erfahren Administratoren alles Wesentliche zur sicheren Verwendung von TLS-Verschlüsselung - angefangen bei CAA bis hin zu TLS 1․3. Hierbei wird auf Marketing verzichtet und ausreichend Zeit für individuelle Fragen eingeplant.

SSL-Zertifizierungsstellen stellen hunderte Zertifikate für Phishing-Seiten aus

Phishing-Seiten erhalten hunderte Zertifikate von SSL-Zertifizierungsstellen Sicherheitsforscher haben herausgefunden. Dass SSL-Zertifizierungsstellen dazu missbraucht werden, hunderte Zertifikate für Phishing-Seiten auszustellen.

heisec-Webinar: Alles rund um TLS für Administratoren

Am bevorstehenden Dienstag wird heisec-Chefredakteur Jürgen Schmidt in einer Stunde zusammenfassen was Administratoren derzeit über TLS wissen sollten. Dabei werden Themen wie CAA, HPKP und TLS 1․3 behandelt.

Symantec gelobt Besserung im Zertifikats-Streit mit Google

Zertifikats-Streit: Symantec gelobt Google Besserung

Symantec nähert sich Google an, da der Webbrowser Chrome bald SSL-/TLS-Zertifikate der CA herunterstufen soll. Symantec plant nun, regelmäßige Zertifikatsprüfungen durchzuführen um das Vertrauen von Google zurückzugewinnen. Das kündigt Symantec in seinem Blog an.