Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kürzere Laufzeit für Web-Zertifikate: Apples Vorschlag löst kontroverse Diskussion aus

Im Verlauf der letzten zehn Jahre ist eine verschlüsselte Kommunikation im Browser weitgehend zum Standard geworden. Inzwischen warnen Firefox, Chrome und Safari standardmäßig, wenn Nutzer eine Web-Seite ohne Verschlüsselung (und aktuelles passendes Zertifikat) aufrufen. Nun hat Apple vorgeschlagen, die Gültigkeitsdauer entsprechender Zertifikate schrittweise zu reduzieren. Bis September 2027 soll die aktuelle maximale Validität von 398 Tagen auf 45 reduziert werden, wenn Apples Vorschlag angenommen wird. Server-Administratoren befürchten zusätzliche (in ihren Augen unnötige) Arbeit, andere stellen sich hinter Apples Vorschlag.


Der Änderungsvorschlag findet sich auf GitHub und wird dort umfangreich diskutiert; auch auf Reddit findet sich ein entsprechender Thread. Ein betroffener Administrator argumentiere, dass er zwanzig Dienste betreue, bei denen die Erneuerung des Zertifikats ein manueller Prozess sei. Andere halten dagegen, dass Initiativen wie ACME und LetsEncrypt die Erneuerung von Zertifikaten in vielen Anwendungsfällen automatisieren. Durch die entsprechende Vorlaufzeit würde ein industrieweiter Druck entstehen, entsprechende Routinen zusätzlich in weitere Bereiche der Web-Infrastruktur zu integrieren.

Höhere Sicherheit, aber mehr Aufwand
Zertifikate haben zwar eine maximale Gültigkeitsdauer, können jedoch individuell zurückgezogen werden (revocation). Einige Stimmen geben zu bedenken, es sei besser, auf diese gezielte Maßnahme zurückzugreifen, anstatt alle Server in die Pflicht zu nehmen. Dagegen wird die Beobachtung gehalten, dass weit verbreitete Browser einen „revocation check“ nicht zuverlässig ausführten.

(Erneute) Monopolisierung der Zertifikatvergabe?
Wiederum andere äußern die Befürchtung, dass auf diese Weise die Vergabe von Zertifikaten nur noch mithilfe großer Plattformen möglich sei, namentlich Cloudflare, Azure, AWS und LetsEncrypt. Manche freuen sich stattdessen über die gestiegene Job-Sicherheit – niemand sonst in ihrer Firma sei in der Lage, die Komplexität einer Zertifikatsverwaltung zu durchschauen. Google, Hersteller des am weitesten verbreiteten Browsers, hat sich in Vergangenheit für eine Verkürzung der Zertifikatslaufzeit ausgesprochen.

Viele Stimmen – aber keine klare Richtung
Betrachtet man allein die Emojis am ursprünglichen Änderungsantrag, ergibt sich ein gemischtes Bild: sechzig Daumen hoch, 77 Daumen runter, 12 Herzen und sechsmal eine Rakete. Der Vorschlag sieht eine einjährige Vorbereitungszeit vor, in der sich Server-Administratoren auf eine bevorstehende stufenweise Laufzeitverkürzung einstellen können. Die automatisierte Zertifikatsvergabe von LetsEncrypt, mit der unabhängige Webentwickler ihre Web-Kommunikation absichern können, erneuert Zertifikate derzeit automatisch nach 90 Tagen.
Test Apple Mac mini M4
Test Apple Mac mini M4
Verwarnung an Apple: Verbotenes Geoblocking in der EU
Verwarnung an Apple: Verbotenes Geoblocking in ...
Apple plant IP-Kameras
Apple plant IP-Kameras
Erste Benchmarks: M4 Pro schneller als ein M2 Ultra im Mac Pro?
Erste Benchmarks: M4 Pro schneller als ein M2 U...
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
iMac M4 angekündigt
iMac M4 angekündigt
Daten zum Mac mini M4: Aufpreise, Spezifikation und Vergleich mit Mac mini M2
Daten zum Mac mini M4: Aufpreise, Spezifikation...
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...

Kommentare

olbea17.10.24 09:28
Fände ich grundsätzlich gut, aber nur wenn das automatisiert werden kann, so wie bei LetsEncrypt auch für Firmen interne Zertifikate. Manuell ist das nicht zu leisten.
0
gritsch17.10.24 09:58
olbea
so wie bei LetsEncrypt auch für Firmen interne Zertifikate.

Ist auch jetzt schon möglich. Nennt sich DNS-Delegation.
0
Paperflow
Paperflow17.10.24 10:24
Ich sehe es wie bei Restaurants. Manche haben eine saubere Nasszelle andere nicht.

Sicherheit sehe ich als Hygieneaspekt.
-2
logo17.10.24 10:40
olbea
Fände ich grundsätzlich gut, aber nur wenn das automatisiert werden kann, so wie bei LetsEncrypt auch für Firmen interne Zertifikate. Manuell ist das nicht zu leisten.
+1

Viele Appliances bieten gar keine Automatisierung. Da wird es schon mit regulären Zertifikaten eine saublöde Aufgabe immer hinterherzukommen...
+6
Mad Doc
Mad Doc17.10.24 11:28
Yeah, wenn sich das durchsetzt ist mein Job bis zur Rente gesichert.
Ich muß dann nur meine Urlaube so legen, daß ein Zerifikatswechsel nicht damit kollidiert, sonst steht der Laden still
Diese Nachricht wurde umweltfreundlich aus wiederverwerteten Buchstaben und Wörtern weggeworfener eMails geschrieben. Sie ist daher voll digital abbaubar.
+5
olbea17.10.24 12:00
logo
Viele Appliances bieten gar keine Automatisierung. Da wird es schon mit regulären Zertifikaten eine saublöde Aufgabe immer hinterherzukommen...

Das ist halt die Aufgabe der Hersteller der Appliances.
0
aMacUser
aMacUser17.10.24 12:53
Paperflow
Ich sehe es wie bei Restaurants. Manche haben eine saubere Nasszelle andere nicht.

Sicherheit sehe ich als Hygieneaspekt.
In einem Restaurant kann jeder unbedarfte Besucher selbst kontrollieren, wie sauber die Toiletten sind. Aber versuch mal, meiner ü80 Oma zu erklären, wie sie an ihrem Handy ein TLS-Zertifikat auf die Gültigkeitsdauer prüft.
-4
rmayergfx
rmayergfx17.10.24 13:04
aMacUser
.... Aber versuch mal, meiner ü80 Oma zu erklären, wie sie an ihrem Handy ein TLS-Zertifikat auf die Gültigkeitsdauer prüft.
Absoluter Quatsch. Warum sollte die ü80 Oma das prüfen sollen/wollen? Das macht das System automatisch z.B. der Browser beim Aufruf der Seite und meldet dann entsprechend den Fehler. Der Enduser muß da i.A. gar nichts tun.

Siehe auch den ersten Absatz im Artikel:
Inzwischen warnen Firefox, Chrome und Safari standardmäßig, wenn Nutzer eine Web-Seite ohne Verschlüsselung (und aktuelles passendes Zertifikat) aufrufen.
Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !
0
iBleedIn6Colors17.10.24 15:37
Na toll. Fritzbox.
Ich verwendet seit > 10 Jahren eine Root-CA. Mit dieser stelle ich u.a. ein Zertifikat für die Fritzbox aus. Das Root-CA installiere ich auf allen Geräten und markiere es als „vertrauenswürdig“ (ist ja auch meins). Dann kann ich jährlich für die Fritzbox etc. ein neues Zertifikat ausstellen, muß aber nicht bei zig Geräten das individuelle Zertifikat als glaubwürdig markieren (was für für iOS z.B. sowieso nicht geht).
Wenn ich den Shit jetzt ca. alle 4 Wochen neu machen soll, na danke.
-2
aMacUser
aMacUser17.10.24 16:49
rmayergfx
aMacUser
.... Aber versuch mal, meiner ü80 Oma zu erklären, wie sie an ihrem Handy ein TLS-Zertifikat auf die Gültigkeitsdauer prüft.
Absoluter Quatsch. Warum sollte die ü80 Oma das prüfen sollen/wollen?
Exakt! Mein Post war ja auch eine Antwort auf den Post von Paperflow. Er ist ja der Meinung, dass das jedem selbst obliegt, ob man eine Webseite besuchen will, deren Zertifikate länger als x Tage gültig ist. Zumindest hat er das impliziert.
-2
beanchen18.10.24 10:58
olbea
logo
Viele Appliances bieten gar keine Automatisierung. Da wird es schon mit regulären Zertifikaten eine saublöde Aufgabe immer hinterherzukommen...

Das ist halt die Aufgabe der Hersteller der Appliances.
Diese Aussage ist zwar nicht falsch aber war auch schon immer gültig. Als man noch Zertifikate für mehrere Jahre kaufen konnte, lieferten die meisten Hersteller mit eigenem Zertifikat und teilweise absonderlichen Wegen andere zu installieren aus. Als Zertifikate auf 1 Jahr begrenzt wurden hat sich nichts geändert. Und nun soll sich durch die Verkürzung auf 3 Monate was ändern? Die Hersteller werden weiter auf eigenen Zertifikate setzen, weil die meisten Kunden diese niemals ersetzen oder eine zuständige IT haben.
Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.