Aktuelle Änderungen für Serverzertifikate

Björn Krellner

Die Regelungen für die Ausstellung von vertrauenswürdigen Zertifikaten werden weiter verschärft, insbesondere für Serverzertifikate. Wer einen per TLS erreichbaren Dienst betreibt, ist potenziell betroffen. Das gilt vor allem für Betreiberinnen und Betreiber von Webservern sowie anderen Diensten, die TLS nutzen.

Kurz und knapp

Die Laufzeit der Zertifikate für Server wird bis 2029 schrittweise auf dann nur noch 47 Tage verkürzt. Serverzertifikate dürfen zudem künftig nicht mehr gleichzeitig für die Client-Authentifizierung genutzt werden. Sie sollten also handeln, wenn Sie Zertifikate noch manuell aktualisieren. Außerdem sollten Sie prüfen, ob Sie Zertifikate auch für andere Zwecke verwenden: Wenn ein Zertifikat zur Authentifizierung eingesetzt wird, muss (zusätzlich) ein nichtöffentliches eingesetzt werden.

Im Detail: Laufzeitverkürzung

Für TLS-Serverzertifikate ist das CA/Browser Forum verantwortlich und gibt die Baseline Requirements for TLS Server Certificates heraus. Der Zeitplan darin legt fest: Ab 15. März 2026 dürfen die Zertifikate nur noch maximal 200 Tage, ab 15. März 2027 noch 100 Tage und ab 15. März 2029 noch 47 Tage gültig sein. Die von uns überwiegend genutzten Zertifikate von Let’s Encrypt sind traditionell 90 Tage gültig, werden aber ggf. schon vor 2029 verkürzt. Die Automatisierung der Zertifikatsaktualisierung wird also für alle Anwendungen von Serverzertifikaten notwendig sein. Bei Server-zu-Server-Kommunikation kann auf nichtöffentliche Zertifikate gewechselt werden, die eine längere Laufzeit haben können.

Im Detail: Client-Authentifizierung

Das Chrome Root Program Policy lässt in Kürze nur noch Zertifikate zu, die ausschließlich für TLS Server Authentication erstellt sind. Entsprechend können dann Serverzertifikate nicht mehr gleichzeitig zur Client-Authentifizierung (mittels TLS Client Authentication Extended Key Usage) genutzt werden. Das ist im Standardzertifikatprofil von Let’s Encrypt schon seit 11. Februar 2026 der Fall. Entsprechend gilt auch hier, dass für Server-zu-Server-Kommunikation keine öffentlichen Serverzertifikate mehr verwendet werden können bzw. sollten.

Wenden Sie sich mit Ihrem Anwendungsfall, allgemeinen Fragen oder Anregungen gern an ca@hrz.tu-chemnitz.de.

Schreibe einen Kommentar

Internes

Impressum

Datenschutzerklärung

Barrierfreiheitserklärung

Feed der Einträge

Anmelden

Schlagworte

Accessibility Android App Ausbildungspool Barrierefreiheit Campusnetz Cisco Datenbank Datenschutz Drucken E-Learning E-Mail eduroam Exchange gitlab IdM Kalender Kollaboration Kurse LaTeX Linux MFG Microsoft Mitarbeiter Mobil Monitor ONYX OPAL Postfach Security Sicherheit Software Telefon TUCAL TUCApp TUCcloud Umfrage Update Videokonferenz Voice over IP Wartung Webdienst Weiterbildung Windows wlan