Thomas Hirt bot einen Ausblick auf Veränderungen im Umgang mit SSL-Zertifikaten.
Unter dem Titel “SSL-Zertifikate bald nur noch 47 Tage lang gültig – Auswirkungen des Diktats der Browser-Hersteller für FileMaker-Entwickler und Admins” spannte er einen weiten Bogen vom Status-Quo über die anstehenden Änderungen bis hin zu den daraus resultierenden Folgen.
Ausgangspunkt ist der aktuelle Beschluss des CA/Browser Forums, die maximale Laufzeit von SSL-Zertifikaten schrittweise zu verkürzen, um latenten Sicherheitsrisiken entgegen zu wirken.
Das CA/Browser Forum besteht neben den bekannten Herstellern der großen Webbrowser, aus Zertizierungsstellen und auch großen IT-Unternehmen, wie Apple, Google, Microsoft oder Cisco.
Ein Auslöser dieser Entwicklung seien laut Thomas unter anderem die gravierenden Folgen der sogenannten “Heartbleed-Schwachstelle” in OpenSSL gewesen, die dazu geführt hätten, dass eine sichere Verschlüsselung von Datenverkehr über lange Jahre kompromittierbar war, u.a. weil betroffene Zertifikate nicht schnell genug aus dem Verkehr gezogen werden konnten.
Thomas wies auch darauf hin, dass der zur Verfügung stehende Mechanismus, um Zertifikate für ungültig zu erklären nicht praxistauglich sei. Verschärft würde das Problem durch unseriöse Certificate Authorities, die in der Vergangenheit zu Problemen geführt hatten.
Die aktuell geplante Strategie zur Verbesserung der Sicherheit seitens des CA/Browser Forums besteht nun darin, die Gültigkeit der Zertifikate schrittweise zu verkürzen:
- ab 01.09.2020 –> max. Gültigkeit 398 Tage => Erneuerung ca. 1x pro Jahr nötig
- ab 15.03.2026 –> max. Gültigkeit 200 Tage => Erneuerung ca. 2x pro Jahr nötig
- ab 15.03.2027 –> max. Gültigkeit 100 Tage => Erneuerung ca. 4x pro Jahr nötig
- ab 15.03.2029 –> max. Gültigkeit 47 Tage => Erneuerung ca. 8x pro Jahr nötig
Wer schonmal selbst ein SSL-Zertifikat bestellt und aktualisiert hat – z.B. auf einem FileMaker Server – der weiß, wie aufwändig diese manuelle Prozedur sein kann. Führt man die Installation nicht rechtzeitig durch und versäumt die Ablauffrist, so kann es zum Ausfall wichtiger Systeme kommen! Zudem sorgt auch die Installation des Zertifikats selbst für eine notwendige kurze Unterbrechung des Servers.
Daher ist eine Automatisierung dieses Vorgangs unabdingbar. Lösungen dafür gibt es z.B. mit “Let’s Encrypt”. Die aktuelle FileMaker Server Version bringt dazu inzwischen einen eingebauten Automatismus mit. Allerdings setzt dies voraus, dass der Server über offene Ports zum Internet verfügt, was aus Sicherheitsgründen nicht in jedem Setup möglich ist.
Auch bringt eine komplette Infrastruktur für die Automatisierung einen erheblichen Overhead mit, der für kleinere Installationen und Unternehmen ohne eigenen Admin nicht einfach umsetzbar ist.
Zudem bieten derzeit nicht alle Provider eine Schnittstelle für die automatisierte Verteilung von SSL-Zertifikaten an.
Thomas wies auch darauf hin, dass SSL-Zertifikate in zahlreichen alten Softwares und auch Hardware-Appliances zum Einsatz kommen, die möglicherweise überhaupt nicht per Update mit neuen Zertifikaten versorgt werden können.
Ein möglicher Hoffnungsschimmer, um die Situation mittelfristig zu verbessern, besteht darin, dass durch die steigenden Anforderungen ggf. neue Anbieter von automatisiert ausstellbaren Zertifikaten auf den Plan treten. Oder auch einfachere Tools für die Automatisierung verfügbar werden.
Als FileMaker-Entwickler oder Admin sollte man sich darum in den kommenden Jahren rechtzeitig Gedanken machen.
CA/Browser Forum
https://cabforum.org
Hintergrundinfos
https://de.wikipedia.org/wiki/CA/Browser_Forum
Let’s Encrypt
https://letsencrypt.org