Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kürzere Laufzeit für Web-Zertifikate: Apples Vorschlag löst kontroverse Diskussion aus

Im Verlauf der letzten zehn Jahre ist eine verschlüsselte Kommunikation im Browser weitgehend zum Standard geworden. Inzwischen warnen Firefox, Chrome und Safari standardmäßig, wenn Nutzer eine Web-Seite ohne Verschlüsselung (und aktuelles passendes Zertifikat) aufrufen. Nun hat Apple vorgeschlagen, die Gültigkeitsdauer entsprechender Zertifikate schrittweise zu reduzieren. Bis September 2027 soll die aktuelle maximale Validität von 398 Tagen auf 45 reduziert werden, wenn Apples Vorschlag angenommen wird. Server-Administratoren befürchten zusätzliche (in ihren Augen unnötige) Arbeit, andere stellen sich hinter Apples Vorschlag.


Der Änderungsvorschlag findet sich auf GitHub und wird dort umfangreich diskutiert; auch auf Reddit findet sich ein entsprechender Thread. Ein betroffener Administrator argumentiere, dass er zwanzig Dienste betreue, bei denen die Erneuerung des Zertifikats ein manueller Prozess sei. Andere halten dagegen, dass Initiativen wie ACME und LetsEncrypt die Erneuerung von Zertifikaten in vielen Anwendungsfällen automatisieren. Durch die entsprechende Vorlaufzeit würde ein industrieweiter Druck entstehen, entsprechende Routinen zusätzlich in weitere Bereiche der Web-Infrastruktur zu integrieren.

Höhere Sicherheit, aber mehr Aufwand
Zertifikate haben zwar eine maximale Gültigkeitsdauer, können jedoch individuell zurückgezogen werden (revocation). Einige Stimmen geben zu bedenken, es sei besser, auf diese gezielte Maßnahme zurückzugreifen, anstatt alle Server in die Pflicht zu nehmen. Dagegen wird die Beobachtung gehalten, dass weit verbreitete Browser einen „revocation check“ nicht zuverlässig ausführten.

(Erneute) Monopolisierung der Zertifikatvergabe?
Wiederum andere äußern die Befürchtung, dass auf diese Weise die Vergabe von Zertifikaten nur noch mithilfe großer Plattformen möglich sei, namentlich Cloudflare, Azure, AWS und LetsEncrypt. Manche freuen sich stattdessen über die gestiegene Job-Sicherheit – niemand sonst in ihrer Firma sei in der Lage, die Komplexität einer Zertifikatsverwaltung zu durchschauen. Google, Hersteller des am weitesten verbreiteten Browsers, hat sich in Vergangenheit für eine Verkürzung der Zertifikatslaufzeit ausgesprochen.

Viele Stimmen – aber keine klare Richtung
Betrachtet man allein die Emojis am ursprünglichen Änderungsantrag, ergibt sich ein gemischtes Bild: sechzig Daumen hoch, 77 Daumen runter, 12 Herzen und sechsmal eine Rakete. Der Vorschlag sieht eine einjährige Vorbereitungszeit vor, in der sich Server-Administratoren auf eine bevorstehende stufenweise Laufzeitverkürzung einstellen können. Die automatisierte Zertifikatsvergabe von LetsEncrypt, mit der unabhängige Webentwickler ihre Web-Kommunikation absichern können, erneuert Zertifikate derzeit automatisch nach 90 Tagen.
Leak aus macOS Sequoia: Apple bestätigt neuen Mac mini?
Leak aus macOS Sequoia: Apple bestätigt neuen M...
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
iOS 18 und iPadOS 18 lassen sich ab sofort laden
iOS 18 und iPadOS 18 lassen sich ab sofort laden
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldungen und frühen Erfahrungen
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...
HomeKit: Apple stellt eigenen Standard ein – und setzt in Zukunft auf Matter
HomeKit: Apple stellt eigenen Standard ein – un...
Ransomware eingefangen? Die meisten bezahlen ihre Erpresser
Ransomware eingefangen? Die meisten bezahlen ih...
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...

Kommentare

olbea17.10.24 09:28
Fände ich grundsätzlich gut, aber nur wenn das automatisiert werden kann, so wie bei LetsEncrypt auch für Firmen interne Zertifikate. Manuell ist das nicht zu leisten.
0
gritsch17.10.24 09:58
olbea
so wie bei LetsEncrypt auch für Firmen interne Zertifikate.

Ist auch jetzt schon möglich. Nennt sich DNS-Delegation.
0
Paperflow
Paperflow17.10.24 10:24
Ich sehe es wie bei Restaurants. Manche haben eine saubere Nasszelle andere nicht.

Sicherheit sehe ich als Hygieneaspekt.
-1
logo17.10.24 10:40
olbea
Fände ich grundsätzlich gut, aber nur wenn das automatisiert werden kann, so wie bei LetsEncrypt auch für Firmen interne Zertifikate. Manuell ist das nicht zu leisten.
+1

Viele Appliances bieten gar keine Automatisierung. Da wird es schon mit regulären Zertifikaten eine saublöde Aufgabe immer hinterherzukommen...
+6
Mad Doc
Mad Doc17.10.24 11:28
Yeah, wenn sich das durchsetzt ist mein Job bis zur Rente gesichert.
Ich muß dann nur meine Urlaube so legen, daß ein Zerifikatswechsel nicht damit kollidiert, sonst steht der Laden still
Diese Nachricht wurde umweltfreundlich aus wiederverwerteten Buchstaben und Wörtern weggeworfener eMails geschrieben. Sie ist daher voll digital abbaubar.
+4
olbea17.10.24 12:00
logo
Viele Appliances bieten gar keine Automatisierung. Da wird es schon mit regulären Zertifikaten eine saublöde Aufgabe immer hinterherzukommen...

Das ist halt die Aufgabe der Hersteller der Appliances.
0
aMacUser
aMacUser17.10.24 12:53
Paperflow
Ich sehe es wie bei Restaurants. Manche haben eine saubere Nasszelle andere nicht.

Sicherheit sehe ich als Hygieneaspekt.
In einem Restaurant kann jeder unbedarfte Besucher selbst kontrollieren, wie sauber die Toiletten sind. Aber versuch mal, meiner ü80 Oma zu erklären, wie sie an ihrem Handy ein TLS-Zertifikat auf die Gültigkeitsdauer prüft.
-5
rmayergfx
rmayergfx17.10.24 13:04
aMacUser
.... Aber versuch mal, meiner ü80 Oma zu erklären, wie sie an ihrem Handy ein TLS-Zertifikat auf die Gültigkeitsdauer prüft.
Absoluter Quatsch. Warum sollte die ü80 Oma das prüfen sollen/wollen? Das macht das System automatisch z.B. der Browser beim Aufruf der Seite und meldet dann entsprechend den Fehler. Der Enduser muß da i.A. gar nichts tun.

Siehe auch den ersten Absatz im Artikel:
Inzwischen warnen Firefox, Chrome und Safari standardmäßig, wenn Nutzer eine Web-Seite ohne Verschlüsselung (und aktuelles passendes Zertifikat) aufrufen.
Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !
0
iBleedIn6Colors17.10.24 15:37
Na toll. Fritzbox.
Ich verwendet seit > 10 Jahren eine Root-CA. Mit dieser stelle ich u.a. ein Zertifikat für die Fritzbox aus. Das Root-CA installiere ich auf allen Geräten und markiere es als „vertrauenswürdig“ (ist ja auch meins). Dann kann ich jährlich für die Fritzbox etc. ein neues Zertifikat ausstellen, muß aber nicht bei zig Geräten das individuelle Zertifikat als glaubwürdig markieren (was für für iOS z.B. sowieso nicht geht).
Wenn ich den Shit jetzt ca. alle 4 Wochen neu machen soll, na danke.
0
aMacUser
aMacUser17.10.24 16:49
rmayergfx
aMacUser
.... Aber versuch mal, meiner ü80 Oma zu erklären, wie sie an ihrem Handy ein TLS-Zertifikat auf die Gültigkeitsdauer prüft.
Absoluter Quatsch. Warum sollte die ü80 Oma das prüfen sollen/wollen?
Exakt! Mein Post war ja auch eine Antwort auf den Post von Paperflow. Er ist ja der Meinung, dass das jedem selbst obliegt, ob man eine Webseite besuchen will, deren Zertifikate länger als x Tage gültig ist. Zumindest hat er das impliziert.
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.