Mögliche weitere Reduzierung der Laufzeit von Serverzertifikaten

Nach Presseberichten aus der letzten Woche (z.B. https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zertifikate-akzeptieren-2002-146779.html) hat Apple auf einem Meeting des CA/Browser Forums angekündigt, dass seine Software (wie z.B. Safari, iOS oder macOS) ab 1. September 2020 neu ausgestellte Serverzertifikate nur noch dann akzeptiert, wenn deren Laufzeit kleiner oder gleich 398 Tagen ist.

Damit setzt sich der Trend zu kürzeren Laufzeiten und damit verbunden die Notwendigkeit von höheren Automatisierungsgraden im Handling von PKIs fort.

Da Apple bisher offensichtlich nur eine mündliche Ankündigung gemacht hat, über die nur Berichte aus zweiter Hand vorliegen, ist es zur Zeit noch nicht möglich die exakten Konsequenzen abzuschätzen. Wir verfolgen die Entwicklung und prüfen, ob wir die Laufzeit von Serverzertifikaten ab 1. September 2020 generell auf 398 Tage begrenzen müssen, oder ob es weitere Optionen geben kann, beispielsweise für Anwendungsfälle jenseits von Webservern.

Wir möchten außerdem auf die bestehenden Automatisierungsmöglichkeiten in der DFN-PKI per Web-Service-Schnittstelle (https://blog.pki.dfn.de/tag/soapclient-releases/) hinweisen. Des Weiteren arbeiten wir an der Abschaffung des bisherigen Papierformulars für Serverzertifikate, wodurch der Aufwand bei der manuellen Beantragung von Serverzertifikaten reduziert werden wird.

(Jürgen Brauckmann, 27.02.2020)