In einer Mitteilung "About upcoming limits on trusted certificates" gibt
Apple bekannt, die maximal erlaubte Laufzeit von TLS-Zertifikaten künftig einzuschränken. Konkret bedeutet dies, dass Zertifikate von TLS-Servern, die ab dem 1. September 2020 ausgegeben werden, allerhöchstens 398 Tage gültig sein dürfen. Dies betrifft TLS-Server-Zertifikate, die durch die vorinstallierten Root-CAs von iOS, iPadOS, WatchOS und TVOS ausgestellt werden. Zertifkate von Root-CAs, die von Nutzern oder Administratoren hinzugefügt wurden, sind nicht betroffen, ebenso vor dem 1. September 2020 herausgegebene Zertifikate mit längeren Laufzeiten. Normalerweise liegt das zulässige Intervall bei zwei Jahren.
Veerbindungen zu TLS-Servern, die der neuen Anforderung nicht genügen – also mit einem veralteten Zertifikat daherkommen – werden fehlschlagen, teilt Apple weiter mit. Es könne zu Fehlern im Netzwerk und bei Apps kommen, und es könne vorkommen, dass Websites auf Apple-Geräten nicht mehr laden. Auf jeden Fall werden betroffene Websites in Safari als unsicher markiert.
Hinter dem Schritt steht das Bemühen um die Sicherheit der Nutzer durch möglichst aktuelle Zertifikate. Auch Google wollte bereits 2019 eine Maximallaufzeit durchsetzen, was jedoch bei Betreibern von Websites wegen des erwarteten Mehraufwands auf wenig Gegenliebe stiess.
(ubi)
