UPDATE: Browser-Hersteller bevorzugen Zertifikate kürzerer Gültigkeit, doch wir bieten weiterhin Servicepläne mit Laufzeiten von bis zu 2, 3 oder sogar 6 Jahren – und Automatisierung, um alles zu vereinfachen.

Wahrscheinlich ist es Ihnen nicht entgangen: Beim Meeting des Certificate Authority/Browser Forum im Februar 2020 verkündete Apple, dass ab dem 1. September 2020 öffentlich vertrauenswürdige TLS-Webserver-Zertifikate nur noch 398 Tage lang gültig sein dürfen. Diese Neuerung gilt für die Plattformen Mac OS und iOS. Den Vorschlag, die Laufzeiten öffentlicher TLS-Zertifikate von zwei Jahren auf ein Jahr zu reduzieren, wurde einst vom CA/B Forum abgelehnt. Doch davon ließ sich Apple nicht beirren und beschritt diesen Weg im Alleingang. Andere Browser erwägen, nachzuziehen. Dies betrifft alle Zertifizierungsstellen und Website-Betreiber.

Website-Betreiber müssen sich vorbereiten

Ab dem 1. September dürfen Zertifizierungsstellen nur noch Zertifikate mit einjähriger Laufzeit ausstellen. Das liegt daran, dass Apple alle Zertifikate, die aus den Root-Speichern der Apple-Plattform ausgestellt werden und eine Laufzeit von mehr als 398 Tagen haben, als „Richtlinienverstoß“ behandelt. Das bedeutet, dass Zertifizierungsstellen Disziplinarmaßnahmen durch Apple drohen. Diese reichen von einfachen Verwarnungen bis hin zum vollständigen Entziehen des Vertrauens. Zum Ausstellen von TLS-Zertifikaten nutzen Zertifizierungsstellen Root-Zertifikate, die allen Browsern gemein sind. Anderenfalls käme es beim Zugriff auf Websites von unterschiedlichen Browsern aus zu Fehlermeldungen.

Ab dem 1. September können Website-Betreiber, die derzeit Zertifikate mit zweijähriger Laufzeit verwenden, nur noch 1-Jahres-Zertifikate erwerben. Alle Zertifikate, die aktuell über zwei Jahre laufen und vor dem 1. September ausgestellt wurden, bleiben gültig.

Private TLS- und alle sonstigen Zertifikattypen nicht von der Änderung betroffen

Diese Änderung hat keinerlei Auswirkungen auf private TLS-Zertifikate (wie Zertifikate aus benutzerdefinierten Roots), Code-Signing- und E-Mail-Zertifikate sowie alle übrigen Nicht-TLS-Zertifikate. Wenn Sie also diese Art von Zertifikaten ausstellen, ist das auch weiterhin bis zur maximalen Laufzeit der jeweiligen Plattform möglich.

DigiCert-Automatisierung: die beste Möglichkeit zur Verwaltung von Zertifikaten mit kurzer Laufzeit

Verkürzte Laufzeiten können eine zusätzliche Last für Kunden bedeuten, die viele Websites verwalten. Hier kommt DigiCert zu Hilfe. Wir haben Tools zum Nachverfolgen der Ablauffristen von Zertifikaten, zur individuellen Anpassung von Erneuerungsmitteilungen und zur Automatisierung von Zertifikaterneuerungen. Mit DigiCert CertCentral® lässt sich der gesamte Zertifikatsverwaltungsprozess automatisieren – dank Automatisierungstools sowie REST-API- und ACME-Integrationstools. Außerdem bieten wir eine moderne Berichts-API namens GraphQL, um Ihnen die Informationen zur Verfügung zu stellen, die Sie benötigen, um Ihre TLS-Zertifikatsverwaltung im Blick zu behalten und fundierte Entscheidungen zu treffen.

Um Hektik zu vermeiden, empfehlen wir, alle erforderlichen Zwei-Jahres-Zertifikate mindestens einen Monat vor Ablauf der Gültigkeitsfrist zu bestellen. So ist sichergestellt, dass Ihre Bestellung rechtzeitig überprüft und verarbeitet werden kann. Zur Unterstützung unserer Kunden beim Umstieg veröffentlichen wir regelmäßig aktuelle Informationen zur Umstellung am 1. September. Schauen Sie also immer wieder vorbei, um auf dem Laufenden zu bleiben.