´Ü³Ü°ùü³¦°ì
-
³¢Ã¶²õ³Ü²Ô²µ±ð²Ô
´Ü³Ü°ùü³¦°ì
Digital Trust ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô für:
Unternehmens-IT, PKI und Identitätsmanagement
Code- und Software-Signing
Dokumente und E-Signaturen
IoT und vernetzte Geräte
PKI- und zertifikatsbezogene Risiken an einem Ort managen
Scannen. Signieren. Liefern.
Wie tragen Sie der Komplexität der Softwarelieferkette Rechnung?
Scannen. Signieren. Liefern.
Wie tragen Sie der Komplexität der Softwarelieferkette Rechnung?
LEITFADEN HERUNTERLADEN - Kaufen
-
Einblicke
´Ü³Ü°ùü³¦°ì
Ressourcen
Auf diesen Seiten erfahren Sie, wie ÃÛÌÒTV Unternehmen dabei unterstützt, digitales Vertrauen zu etablieren, zu managen und auszuweiten, um reale Probleme zu lösen.
Sind Sie bereit?
Nehmen Sie gemeinsam mit prominenten Branchenvertretern am World Quantum Readiness Day teil.
AUFZEICHNUNG ANSEHEN >
Sind Sie bereit?
Nehmen Sie gemeinsam mit prominenten Branchenvertretern am World Quantum Readiness Day teil.
AUFZEICHNUNG ANSEHEN -
Partner
´Ü³Ü°ùü³¦°ì
Partnerschaften sorgen für digitales Vertrauen
- Systemintegratoren
- Softwareentwickler & Lösungsanbieter
- OEMs
- Distributoren & Reseller
- Managed Service & Cloud-Serviceanbieter
Auf Vertrauen Basiert
Mit Digital Trust ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô erschließt Acmetek neue Chancen
PARTNERSCHAFT DURCH VERTRAUEN
JETZT ANSEHEN - Support
- Kontaktieren Sie uns
-
Sprache
Zertifikatsverwaltung
04-14-2025
Stephen Davidson
Die Lebensdauer von TLS-Zertifikaten wird offiziell auf 47 Tage verkürzt
Das CA/Browser-Forum hat offiziell und einen Zeitplan für die Verkürzung der Lebensdauer von TLS-Zertifikaten und die Wiederverwendbarkeit von CA-validierten Informationen in Zertifikaten festgelegt. Die ersten Auswirkungen der Abstimmung auf die Nutzer werden sich im März 2026 bemerkbar machen.
Die Abstimmung wurde im CA/Browser-Forum lange diskutiert und durchlief mehrere Versionen, wobei Feedback von Zertifizierungsstellen und deren Kunden einfloss. Die Abstimmungsphase endete am 11.ÌýApril 2025. Damit endete ein heiß umkämpftes Kapitel, und die Zertifikatswelt kann sich nun auf die weitere Planung konzentrieren.
Die neue Gültigkeitsdauer von TLS-Zertifikaten
Die neue Abstimmung zielt auf eine Zertifikatsgültigkeit von 47ÌýTagen ab, was eine Automatisierung unerlässlich macht. Vor diesem Vorschlag von Apple hatte sich Google für eine maximale Gültigkeitsdauer von 90ÌýTagen ausgesprochen, schloss sich jedoch praktisch sofort der Meinung von Apple an.
Der Zeitplan:
Die maximale Zertifikatsgültigkeitsdauer wird reduziert:
- Zwischen heute und dem 15.ÌýMärz 2026 beträgt die maximale Gültigkeitsdauer eines TLS-Zertifikats 398Ìý°Õ²¹²µ±ð.
- Ab dem 15.ÌýMärz 2026 beträgt die maximale Gültigkeitsdauer von TLS-Zertifikaten 200ÌýTage.
- Ab dem 15.ÌýMärz 2027 beträgt die maximale Gültigkeitsdauer von TLS-Zertifikaten 100ÌýTage.
- Ab dem 15.ÌýMärz 2029 beträgt die maximale Gültigkeitsdauer von TLS-Zertifikaten 47ÌýTage.
Ìý
Der maximale Zeitraum, in dem Informationen zur Domain- und IP-Adressvalidierung wiederverwendet werden können, wird verkürzt:
- Zwischen heute und dem 15.ÌýMärz 2026 beträgt der maximale Zeitraum, in dem Informationen zur Domainvalidierung wiederverwendet werden können, 398Ìý°Õ²¹²µ±ð.
- Ab dem 15.ÌýMärz 2026 beträgt der maximale Zeitraum, in dem Informationen zur Domainvalidierung wiederverwendet werden können, 200ÌýTage.
- Ab dem 15.ÌýMärz 2027 beträgt der maximale Zeitraum, in dem Informationen zur Domainvalidierung wiederverwendet werden können, 100ÌýTage.
- Ab dem 15.ÌýMärz 2029 beträgt der maximale Zeitraum, in dem Informationen zur Domainvalidierung wiederverwendet werden können, 10ÌýTage.
Ab dem 15.ÌýMärz 2026 können Validierungen von Identitätsinformationen nur noch 398ÌýTage lang wiederverwendet werden (vorher 825ÌýTage). Identitätsinformationen beziehen sich auf den Firmennamen und weitere Informationen eines OV(Organization Validated)- oder EV(Extended Validation)-Zertifikats, also auf alles außer dem durch das Zertifikat geschützten Domainnamen und der IP-Adresse. DV(Domain Validated)-Zertifikate sind nicht davon betroffen, da sie keine Identitätsinformationen besitzen.
Ìý
Warum 47ÌýTage?
47 Tage mögen willkürlich erscheinen, lassen sich aber einfach erklären:
- 200 Tage = maximale Anzahl von Tagen innerhalb von 6 Monaten (184 Tage) + die Hälfte eines Monats von 30 Tagen (15 Tage) + 1 Tag zusätzlich
- 100 Tage = maximale Anzahl von Tagen innerhalb von 3 Monaten (92 Tage) + ~ ein Viertel eines Monats von 30 Tagen (7 Tage) + 1 Tag zusätzlich
- 47 Tage = maximale Anzahl von Tagen innerhalb von 1 Montag (31 Tage) + die Hälfte eines Monats von 30 Tagen (15 Tage) + 1 Tag zusätzlich
Die Begründung von Apple für die Änderung
Als Begründung führte Apple bei der Abstimmung zahlreiche Argumente an, von denen eines besonders hervorzuheben ist. Das CA/B-Forum habe durch die stetige Verkürzung der maximalen Laufzeiten seit Jahren deutlich gemacht, dass Automatisierung für ein effektives Zertifikatslebenszyklusmanagement unerlässlich sei.
In der Begründung zur Abstimmung heißt es, dass kürzere Laufzeiten aus vielerlei Gründen, insbesondere jedoch aus dem folgenden Grund notwendig sind: Die Informationen in Zertifikaten verlieren mit der Zeit an Vertrauenswürdigkeit, ein Problem, das nur durch häufige Revalidierung der Informationen verbessert werden kann.
In der Begründung heißt es weiter, dass der Widerruf mit CRLs und OCSP unzuverlässig sei. Tatsächlich ignorieren Browser diese Funktionen häufig. Die Abstimmung enthält einen langen Abschnitt über die Mängel des Widerrufs von Zertifikaten. Eine kürzere Laufzeit mindert die Auswirkungen der Verwendung potenziell widerrufener Zertifikate. Im Jahr 2023 unterstrich das CA/B-Forum dann noch seine Auffassung, indem es kurzlebige Zertifikate ohne CRL oder OCSP genehmigte, die innerhalb von 7 Tagen ablaufen.
Verwirrung über die Neuregelung beseitigen
Zwei Punkte der Neuregelung könnten für Verwirrung sorgen:
- Die Regeln ändern sich in den Jahren 2026, 2027 und 2029, wobei der Abstand zwischen den beiden letzten Jahren zwei Jahre beträgt.
- Ab dem 15. März 2029 beträgt die maximale Lebensdauer eines TLS-Zertifikats 47 Tage, die maximale Wiederverwendung von Domainvalidierungsinformationen beträgt jedoch nur 10 Tage. Eine manuelle Revalidierung ist zwar technisch weiterhin möglich, wird aber garantiert zu Fehlern führen.
Als Zertifizierungsstelle werden wir von Kunden häufig gefragt, ob ihnen für häufigere Zertifikatserneuerungen höhere Kosten entstehen. Die Antwort ist nein. Es handelt sich um ein Jahresabonnement und wir haben festgestellt, dass Nutzer häufig ihre Zertifikate freiwillig schneller austauschen, sobald sie auf Automatisierung umsteigen.
Deshalb, und da selbst die Änderungen an 100-Tage-Zertifikaten im Jahr 2027 mit manuellen Verfahren nicht mehr zu bewerkstelligen sein werden, erwarten wir einen schnellen Umstieg auf Automatisierung lange vor dem Inkrafttreten der Änderungen im Jahr 2029.
Die Aussage von Apple zur automatisierten Verwaltung des Zertifikatslebenszyklus ist zweifelsohne richtig und etwas, worauf wir uns lange vorbereitet haben. ÃÛÌÒTV bietet mit demÌýTrust Lifecycle ManagerÌýundÌýCertCentral verschiedene Automatisierungslösungen, einschließlich ±«²Ô³Ù±ð°ù²õ³Ùü³Ù³ú³Ü²Ô²µ des ACME-Protokolls.ÌýDas ACME-Protokoll von ÃÛÌÒTV ermöglicht die Automatisierung von DV-, OV- und EV-Zertifikaten und umfasst die ±«²Ô³Ù±ð°ù²õ³Ùü³Ù³ú³Ü²Ô²µ von ACME Renewal Information (ARI).
Kontaktieren Sie uns für weitere Informationen, wie Sie Automatisierung am besten für Ihre Zwecke nutzen können.
Die neuesten Entwicklungen im Bereich digitales Vertrauen
Möchten Sie mehr über Themen wie Zertifikatsverwaltung, Automatisierung und TLS/SSL erfahren? Dann abonnieren Sie den ÃÛÌÒTV-Blog, um keinen Beitrag zu verpassen.
Subscribe to the blog
-
Der vertrauenswürdigste globale Anbieter von hochsicheren TLS/SSL-, PKI-, IoT- und Signaturlösungen.
-
© 2025 ÃÛÌÒTV.ÌýAlle Rechte vorbehalten.
Rechtliches WebTrust-Audits Nutzungsbedingungen Datenschutz Barrierefreiheit Cookie-Einstellungen