Streit mit Certificate Authorities: Apple reduziert Gültigkeit von HTTPS-Zertifikaten

Apple hat einen Streit mit Ausstellern von Sicherheitszertifikaten ausgelöst. Im Februar entschied das Unternehmen aus Cupertino im Alleingang, künftig die Gültigkeit von TLS-Zertifikaten für HTTPS-Verbindungen auf 398 Tage zu beschränken. Die Änderung soll ab dem 1. September 2020 gelten – ähnliche Absichten äußerten inzwischen auch Google und Mozilla.

Konkret sollen Geräte und Browser von Apple, Google und Mozilla ab Anfang September eine Fehlermeldung anzeigen, sobald ein neues TLS-Zertifikat länger als 398 Tage gültig ist. Damit brechen alle drei Unternehmen mit einer gängigen Praxis zwischen Browseranbietern und den Certificate Authorities (CAs).

Bisher hatte das CA/B Forum, ein informeller Zusammenschluss der Certificate Authorities, die Regeln für die Ausstellung von TLS-Zertifikaten, die wiederum für die Verschlüsselung von HTTP-Traffic benötigt werden, festgelegt. Das gilt auch für den Umgang von Browsern mit den Zertifikaten sowie deren Gültigkeitsprüfung. Neue Regeln wurden stets zwischen den Browseranbietern und den Certificate Authorities abgesprochen und erst danach verabschiedet und von allen Mitgliedern implementiert.

In den vergangenen 15 Jahren gab es allerdings immer wieder ein Thema, das für Kontroversen sorgte: die Gültigkeitsdauer von Zertifikaten. Anfänglich lag diese bei acht Jahren. Browseranbieter forderten jedoch immer wieder kürzere Zeiträume. Schließlich wurde die Gültigkeit von drei auf zwei Jahre reduziert, womit die CAs die Angelegenheit als erledigt betrachteten.

Doch schon ein Jahr später, im vergangenen Sommer, starteten die Browserhersteller einen neuen Anlauf, diesmal mit dem Ziel, eine Gültigkeit von einem Jahr zu erreichen. Im September 2019 scheiterte schließlich der von Google eingebrachte Vorschlag. Während alle Browseranbieter den kürzeren Zeitraum befürworteten, lehnten ihn 65 Prozent der CAs ab.

Im Februar schließlich brach Apple mit der gängigen Praxis der Absprachen mit dem CA/B Forum und verkündete seine einseitige Entscheidung. Zwei Wochen später schloss sich Mozilla dieser Initiative an und am 10. Juni erklärte auch Google, dem Beispiel Apples zu folgen.

Der Alleingang zeigt aber auch die eigentlichen Machtverhältnisse im HTTPS-Ökosystem auf. Apple, Google, Mozilla und andere Anbieter haben die eigentliche Kontrolle während die CAs eigentlich nur Teilnehmer ohne eigenen Einfluss sind.

Auslöser des Alleingangs der Browserhersteller ist der Umgang von CAs mit TLS-Zertifikaten, die für Malware, Phishing oder andere Cyberverbrechen missbraucht wurden. Eigentlich sollen solche Zertifikate unverzüglich zurückgerufen beziehungsweise für ungültig erklärt werden. In der Praxis zeigte sich jedoch immer wieder, dass solche Zertifikate nicht zeitnah zurückgezogen wurden und zum Teil über Jahre hinweg gültig blieben. Eine kürzere Gültigkeit soll dafür sorgen, dass in solchen Fällen gekaperte Zertifikate zeitnah „von selbst“ unbrauchbar werden.

Ein anderes Problem ist, dass Sicherheitsexperten nicht ausschließen, dass heute aufgezeichneter verschlüsselter Datenverkehr künftig entschlüsselt werden kann. Kürzere Gültigkeitszeiträume für Zertifikate sollen dafür sorgen, dass solche Bemühungen erschwert werden.

Die CAs argumentierten indes, dass kürzere Laufzeiten wahrscheinlich wenig Auswirkungen auf diese Sicherheitsprobleme hätten, unter anderem weil Cyberkriminelle heute auch Zugriff auf kostenlose Zertifikate hätten. Tatsächlich bedeuteten die kürzeren Zeiträume jedoch mehr Aufwand für die CAs.

Für Websitebetreiber bedeutet die einseitige Änderung durch Apple, Google und Mozilla, dass sie ihre TLS-Zertifikate nun bereits nach einem Jahr erneuern müssen. Endverbraucher sollten sich zudem auf mehr HTTPS-Fehlermeldungen in ihren Browsers einstellen.