Browserhersteller beschließen maximale Zertifikatslebensdauer von einem Jahr

Apple, die Mozilla Foundation (FireFox) und Google haben beschlossen, dass ihre Browser für alle ab dem 01.09.2020 ausgestellten Zertifikate nur eine maximale Gültigkeitsdauer von einem Jahr (398 Tage, d. h. 1 Jahr + 1 Monat Karenz) akzeptieren. Damit wurde die erst von 5 Jahren auf 3 und dann auf 2 Jahre verkürzte Gültigkeitsdauer von Zertifikaten erneut beschnitten, was letztlich in einem erhöhtem Administrationsaufwand für nicht bspw. per Let’s Encrypt automatisierbare Zertifikate mündet.

Begründet wird das immer wieder mit der nicht unumstrittenen Meinung der Browserhersteller, dass Mechanismen zur Gültigkeitsprüfung (wie z. Bsp. CRLs oder OCSP) ungeeignet oder sogar wirkungslos sind.

Da automatierbare Alternativen wie Let’s Encrypt aufgrund der geltenden Standards keine Class 3 oder EV- Zertifikate ausstellen dürfen, bleibt für alle Zertifikate mit Identitätsnachweis nur die jährliche Erneuerung der Zertifikate.

Wir empfehlen deshalb, alle Zertifikate die bis Ende des ersten Halbjahres 2021 ablaufen, noch vor dem 01.09.2020 um die dann letzmalig möglichen 2 Jahre zu verlängern.