Das CA/Browser-Forum hat in Abstimmung SC-081v3 vereinbart, dass die maximale Gültigkeitsdauer für Zertifikate bis 2029 auf 47 Tage reduziert wird, nachdem sie in den Vorjahren schrittweise verringert wurden.
Wichtige Erkenntnisse:
- Die manuelle Zertifikatverwaltung ist mathematisch nicht mehr praktikabel. Durch den Übergang von einer jährlichen auf eine Lebensdauer von 47 Tagen werden die betrieblichen Workloads um das Neunfache erhöht. Dadurch wird der Spielraum für Fehler geringer und herkömmliche Tabellenkalkulationen und Kalender führen fast garantiert zu Serviceausfällen.
- Transparenz ist die Grundvoraussetzung für Sicherheit. Große Unternehmen haben oft mit Shadow-IT und nicht dokumentierten Endpunkten zu kämpfen, was zu unerwarteten Ausfallzeiten führt. Die Verwaltung eines zentralisierten, automatisierten Inventars stellt sicher, dass jedes Zertifikat vor Ablauf nachverfolgt und erneuert wird.
- Für mobile Anwendungen besteht das einmalige Risiko, funktionsunfähig zu werden. Im Gegensatz zu Browsern verfügen mobile Apps oft über eine statische Vertrauenslogik, die fehlschlägt, wenn Serverzertifikate schnell wechseln. Dies erfordert einen Wechsel zu dynamischem Pinning oder Public Key Pinning, um eine sofortige Dienstverweigerung für Nutzer zu verhindern.
- Die Vertrauensinfrastruktur muss jetzt mit derselben Geschwindigkeit wie die Softwarebereitstellung arbeiten. Das Behandeln von Zertifikaten als isolierte administrative Aufgaben führt zu Engpässen bei der Bereitstellung. Durch die direkte Integration der Zertifikatsintegrität in CI/CD-Pipelines sind Unternehmen in der Lage, Sicherheitsrichtlinien durchzusetzen und das Vertrauen kontinuierlich zu validieren.
- Die Automatisierung muss menschliche Eingriffe ersetzen, um Resilienz zu gewährleisten. Manuelle CSR-Generierung und E-Mail-basierte Genehmigungen führen zu Latenz und Inkonsistenz, die nicht auf 47-Tage-Grenzen skalierbar sind. Durch die ereignisgesteuerte Automatisierung auf ACME-Basis wird sichergestellt, dass Erneuerungen programmatisch, wiederholbar und ausfallsicher sind.
Häufig gestellte Fragen (FAQ)
Gemäß dem neuen Mandat ist die Wiederverwendung von DCV bis 2029 auf nur 10 Tage begrenzt. Das bedeutet, dass Unternehmen fast jede Woche einen Nachweis über die Inhaberschaft von Domains vorlegen müssen.
Mobile Apps weisen eine „Asymmetrie-Lücke“ auf, da sie häufig Vertrauenslogik oder angeheftete Zertifikate direkt in verteilte Binärdateien einbetten, die nicht so schnell aktualisiert werden können, wie die serverseitigen Zertifikate wechseln.
Akamai empfiehlt, vom Pinning von Leaf-Zertifikaten auf SPKI-Pinning (Subject Public Key Info) zu wechseln, wodurch Zertifikate mit einem neuen Ablaufdatum neu ausgestellt werden können, während dasselbe Schlüsselpaar wiederverwendet wird.
Das erste ist das Zertifikat, das die Edge-Plattform dem Endnutzer präsentiert, und das zweite ist das Zertifikat, das der Ursprungsserver an die Edge-Plattform übermittelt, um eine vollständige Vertrauenskette aufrechtzuerhalten.
Wenn das Rotieren des Ursprungszertifikats manuelle Eingriffe erfordert, empfiehlt Akamai, ein bestimmtes Ursprungszertifikat in der Edge-Konfiguration als Zwischenlösung zu pinnen, und es jährlich oder halbjährlich zu rotieren.
ACME External Account Binding (EAB) ist ein Mechanismus, der automatisierte Zertifikatsanfragen mit einem verifizierten Konto bei einer Zertifizierungsstelle (CA) verknüpft. Sie stellt sicher, dass nur autorisierte Nutzer Zertifikate ausstellen können, indem während der Kontoregistrierung ein kryptografischer Nachweis erforderlich ist. EAB wird häufig verwendet, um Zugriffskontrolle, Fakturierung, Richtlinienkonformität und Prüfbarkeit für die automatisierte Zertifikatausstellung durchzusetzen.
ACME EAB erlaubt authentifizierte, richtlinienbasierte Interaktionen mit kommerziellen Zertifizierungsstellen und ermöglicht so eine berührungsfreie Automatisierung bei gleichzeitiger Beibehaltung bestehender Identitätskontrollen und Genehmigungsworkflows.
Die Unternehmensführung sollte es priorisieren, den Zertifikatbestand zu priorisieren, um eine zentrale Informationsquelle zu schaffen, alle Abhängigkeiten der manuellen Erneuerung abzubilden und mobile Apps zu prüfen, um vom risikoreichen Pinning von Leaf-Zertifikaten abzusehen.