Gültigkeit von SSL-Zertifikaten wird von Apple auf 13 Monate begrenzt

Ab dem 1. September vertraut Safari nicht mehr auf SSL/TLS-Zertifikate mit einer Gültigkeitsdauer von mehr als 398 Tagen. Apple gab diese einseitige Entscheidung auf einer Sitzung des CA/Browser-Forums (CA/B Forum) am 19. Februar bekannt.

Im Wesentlichen sind alle SSL/TLS-Zertifikate, die vor dem 1. September 2020 ausgestellt wurden, von dieser Änderung nicht betroffen. Sie bleiben (mit Ausnahme von Sperrungen von Zertifikaten, die in keinem Zusammenhang stehen) für den gesamten Zweijahreszeitraum gültig und müssen nicht geändert oder ersetzt werden. Alle Zertifikate, die am oder nach dem 1. September ausgestellt werden, müssen jedoch jedes Jahr erneuert werden, um z.B. in Apple’s Safari-Browser als vertrauenswürdeig eingestuft zu werden..

Einige der führenden CAs haben sich derweil entschieden, neue Optionen für die Automatisierung des Lebenszyklus von Zertifikaten durch Abonnements zu erstellen, die die Verwaltung von einjährigen Zertifikaten für längere Lebenszyklen erleichtern werden.

DigiCert wird seine Mehrjahresprogramme noch vor September auf den Markt bringen. Mit diesen auf einem mehrjährigen Abonnement basierenden SSL-Diensten könnten Webmaster für längere Zeiträume eine Abdeckung erwerben und ihr Zertifikat so oft wie nötig mit der maximal zulässigen Gültigkeitsdauer neu ausstellen, wobei nach derzeitigem Stand die Validierung bei EV/EV-Zertifikaten dennoch bei jeder Verlängerung neu erfolgen muß.
Unklar ist daher, wie die jährlicher Validierung der Zertifikate im Abonnement geschehen soll. Hierzu haben die CAs noch keine klaren Konzepte vorgestellt.

Mehr Informationen finden Sie unter https://support.apple.com/en-us/HT211025