Der Zeitpunkt für die ersten angekündigten Einschränkungen der Vertrauenswürdigkeit von SHA1 signierten Zertifikaten rückt näher. Microsoft und Google schränken die Glaubwürdigkeit solcher Zertifikate immer weiter ein. Nun kündigt GlobalSign ebenfalls Änderungen am Ausstellungsmechanismus, sowie der maximalen Laufzeit von SSL Zertifikaten an.
(firmenpresse) - Zum Ende des Jahres stehen eine Reihe struktureller Änderungen an, welche die Ausstellung und die Laufzeit von Zertifikaten betrifft. Durch den Vertrauensentzug der SHA1 signierten Zertifikate stellen die Zertifizierungsstellen nach und nach auch die Ordersysteme um und passen die Bestellabläufe den aktuellen Gegebenheiten an.
Zukünftig wird es zunächst so ablaufen, das mit SHA2 Intermediate Zertifikaten einer SHA1 Root Zertifizierungsstelle neue Zertifikate ausgestellt werden. Begründet wird dies durch die noch nicht vollständig vorhandene Verbreitung von SHA2 Root Zertifikaten vor allem in älteren Browsern. Diese bisher zum Teil noch nicht vorhandenen Root-Zertifikate würden dann zu einer mangelhaften Browser Kompatibilität führen, wenn Zertifikate mit einem reinen SHA2 Zertifikatspfad zum Einsatz kämen.
Daher werden vorerst weiterhin Zertifikate mit einem SHA2 Intermediate Zertifikat signiert, welches den bestehenden SHA1 Root Zertifizierungsstellen zugeordnet ist.
Für einige Anwendungen bleiben SHA1 Zertifikate auch weiterhin wegen mangelnder Kompatibilität alternativlos. In diesem Fall gilt: "Lieber eine schlechte, als keine Verschlüsselung."
Darüber hinaus werden einige CAs SHA1 Zertifikate nur noch mit einer auf ein Jahr beschränkten Laufzeit anbieten, so unter anderem GlobalSign.
Zur SHA1 Umstellung wird mit dem April 2015 die Einschränkung der Zertifikatslaufzeit auf 39 Monate kommen, die vor einiger Zeit bereits vom CA/Browser Forum beschlossen wurde.
Spätestens mit Anfang April werden damit keine Zertifikate mehr ausgestellt werden können, die eine längere Laufzeit als 3 Jahre haben. Zertifizierungsstellen wie Geotrust, GlobalSign und weitere, die bei Verlängerungen verbleibende Laufzeiten von bis zu 3 Monaten noch auf die Laufzeit anrechneten, haben bei einer möglichen maximalen Laufzeit von bis zu 39 Monaten immer noch die Möglichkeit diesen Bonus an Kunden zu vergeben.
icertificate GmbH
Nordstrasse 73a
53111 Bonn
https://icertificate.eu
vertrieb(at)icertificate.eu