Apple möchte die Laufzeit von Zertifikaten kürzen

Apple möchte die Laufzeit von Zertifikaten weiter kürzen. Diesmal auf nur 10 Tage ab 2027. Ich halte die Kosten/Nutzen Rechnung da für arg überschaubar und die Argumentation für teilweise konstruiert.

Kürzere Laufzeiten sind durchaus zu begrüßen, denn sie erhöhen tatsächlich die Sicherheit. Let's Encrypt hat z.B. eine Laufzeit von 90 Tagen. Üblicherweise ist aktuell 1 Jahr der Standard. Eine Verkürzung von einem Jahr auf 90 Tage oder meinetwegen auch 45 Tage (was Apple bis 2027 gerne hätte) halte ich für vertretbar. Es erhöht die Sicherheit ohne dabei realistisch Probleme zu verursachen.

Es gibt hier grundsätzlich 2 Argumentationen dagegen.

Zum einen sind das manuelle Prozesse. Das sollte man eigentlich heute schon nicht mehr machen, denn das ist pot. fehleranfällig. Manuelle Prozesse fressen obendrein auch Zeit und da wären 10 Tage natürlich ein Albtraum. Da ist man dann hauptberuflich Zertifikat-Jongleur. Das halte ich aber für kein gültiges Argument, denn das sollte man eigentlich gar nicht machen und Systeme, die das nicht verdauen können sollten bis dahin eigentlich ausgetauscht sein.

Die andere Seite bezieht sich eher auf eine Kosten/Nutzen Rechnung und das erhöhte Risiko, das Störungen relevant werden können. Und das sehe ich durchaus auch so.

Eine Verkürzung auf einen Zeitraum von nur 10 Tagen ist potentiell problematisch, denn hier kann ein Netzwerk-Schluckauf zu einem realistischen Szenario werden. Nach 7 Tagen will man erneuern, es gibt einen Großausfall und danach ist Panik angesagt und die API funktioniert nur eingeschränkt. Da ist eine Zeitspanne von 3 Tagen mit Schluckauf durchaus realistisch. Und dann steht man ohne gültiges Zertifikat da.

Bei einem Zeitraum von 45 Tagen oder den 90 Tagen von Let's Encrypt ist das eher ausgeschlossen. Selbst bei einem größeren Schluckauf sollte man da nicht ins Schwitzen kommen.

Das Hauptproblem ist, dass es ein paar Szenarien gibt in denen 3. Zugriff auf die Zertifikate haben. Z.B. wenn man einen Hoster wechselt oder andere Dienstleister, die aufgrund der Dienstleistung zwingend Zugriff auf den Schlüssel benötigen.

Das Problem mit den Dritten ist hier aber schon, dass wir im normalen Betrieb eben sehr häufig Zweite haben. Warum diese plötzlich kriminell werden nur weil sie zu Dritten werden erfordert eine Erklärung, denn das könnten sie ja auch schon als Zweite.

Das Problem ist nicht ganz so relevant wie es dargestellt wird. Es ist aber auch nicht rein theoretisch. Es hängt von vielen Faktoren ab. Eine verkürzte Laufzeit auf 45 bis 90 Tage ist daher durchaus sinnvoll.

Es handelt sich hierbei aber auch nicht um ein Problem, mit dem man ständig konfrontiert ist. Es gibt zwar mehrere Analysen dazu aber kaum Statistiken. Man sollte eigentlich meinen, dass eine Studie auch sowas mal analysiert, um zu zeigen wie relevant das Problem überhaupt ist. Es ist etwas, bei dem man eine Risikoabwägung durchführen muss. Welche Risiken minimiere ich wie weit, wenn ich das mache und welche Risiken können dadurch entstehen. DoS Angriffe auf Zertifizierungsstellen werden dadurch z.B. durchaus interessant. Bei 10 Tagen muss ich das System nur ein paar Tage aus dem Ruder werfen, um ein relevantes Problem zu erzeugen.

Für Apple, Google - die hatten die Idee auch schon - oder Microsoft spielt das keine größere Rolle, denn die sind ja ihre eigene Zertifizierungsstelle und sind bei Problemen des Zertifikat-Pöbels nicht betroffen. Diese Gruppe ist aber auch durch eine Laufzeit von 45 oder 90 Tagen eher nicht wirklich betroffen.