DEENFRELIDESCA
my.iacboxiacbox.cloudMeine WLAN Lösung

Gültigkeit von TLS Zertifikaten wird verkürzt

Aktuelle Entwicklungen bei TLS (x509) Zertifikaten werden in den nächsten Jahren altbekannte manuelle Verfahren (endlich) in Rente schicken. Lesen Sie hier einen Ausblick, wie sich diese Veränderungen auf die IACBOX auswirken.

Was ist geschehen?

Nach einem gescheiterten Versuch von Google in den Jahren davor, hatte nun Apple 2024 mit einem ähnlichen Vorschlag zur Verkürzung der Gültigkeit von Zertifikaten Erfolg. Im April 2025 wurde der Vorschlag vom Browser/CA Forum angenommen. In diesem Forum sitzen die großen Browser-Hersteller und CAs (Certificate Authorities), welche Änderungen wie diese vorantreiben und koordinieren. Dem Vorschlag gingen langwierige Diskussionen voran, weil nicht alle mit dieser Entwicklung glücklich sind.
Schon öfter wurde die Lebensdauer von Zertifikaten in den letzten 20 Jahren verkürzt. Von 10 Jahren wurde die Dauer schrittweise und in großen Abständen bis auf 1 Jahr (2020) verkürzt.
Die bevorstehenden Schritte werden die Gültigkeit von TLS-Zertifikaten von derzeit max. 398 Tagen bis auf 47 Tage verkürzt. Dadurch werden sowohl Anwender als auch die CAs (Certificate Authorities) selbst zur Automatisierung gezwungen, weil ein manuelles Tauschen von Zertifikaten nicht mehr praktikabel ist.

Neue Gültigkeitsdauer

Hier eine Übersicht über die neuen Gültigkeiten. Beachtenswert ist die 2 jährige Phase mit einer 100 tägigen Gültigkeit.
Ab Zertifikats- Gültigkeitsdauer Gültigkeitsdauer der Domain-Validierung Berechnung/Anmerkung
März 2025 398 Tage (unverändert) 398 Tage (zuvor 825) Nur die Gültigkeitsdauer der Domain-Validierung wurde verkürzt.
März 2026 200 Tage 200 Tage 200 Tage (ca. 6,5 Monate, inkl. Toleranz)
März 2027 100 Tage 100 Tage 100 Tage (ca. 3,3 Monate, inkl. Toleranz)
März 2029 47 Tage 10 Tage 31 Tage (ca. 1,5 Monate, inkl. Toleranz)

Motivation

Die kürzere Gültigkeit soll vor allem der Sicherheit zugutekommen. Ein Hauptproblem bei der Sicherheit ist das Zurückziehen/Invalidieren (Revocation) von Zertifikaten.
Es gibt zwei Verfahren, um Zertifikate zurückzuziehen:
  1. OCSP (Online Certificate Status Protocol)
  2. CRL (Certificate Revocation List)
Beide Verfahren haben ihre Probleme, und die Online-Checks führen zu zusätzlicher Latenz, die beim Verbindungsaufbau vermieden werden soll. Optimierungen in anderen Protokollen wie TLS 1.3 und QUIC versuchen, weniger Anfragen beim Verbindungsaufbau zu machen, um schneller zu sein. Ein anderes Problem, das schon öfter von Sicherheitsforschern beobachtet wurde, ist, dass Zertifikate oft nicht zurückgezogen werden nach Einbrüchen. Gerade die Heartbleed-Attacke hatte das nachweislich gezeigt.
Die Reduktion der Gültigkeit verringert also die Zeit, in der ein kompromittiertes Zertifikat (bzw. der Schlüssel davon) gültig ist und somit missbraucht werden kann.

IACBOX

Auf der IACBOX gibt es drei mögliche Fälle, welche Surf-LAN-Domain plus TLS-Zertifikat konfiguriert sein können, somit sind die nötigen Änderungen je nach Fall unterschiedlich:
  1. IACBOX Standard Domain: (hotspot.internet-for-guests.com)
  2. Standard Domain von White-Label-Partnern: Das zugehörige Zertifikat wird automatisch beim Registrieren mit dem Partner-Theme installiert und bisher jährlich aktualisiert.
  3. Benutzerdefinierte Domain: Eine beliebige, eigene Domain, die vom Administrator selbst registriert wird und auch das TLS-Zertifikat selbst beschafft und installiert wird.

Update

Schauen wir uns nun an, wie die drei Fälle künftig behandelt werden:

  1. IACBOX Standard Domain: Hier ändert sich bei der Art des Updates nichts – das Zertifikat der Standard-Domain (künftig mehrere Domains – s.u.) wird automatisch über das Online-Update aktualisiert.
  2. Standard Domain von White-Label Partnern: Um einen möglichst reibungslosen Ablauf garantieren zu können, bieten wir White-Label-Partnern an, dass wir die kurzlebigen Zertifikate automatisch aktualisieren und über unsere Update-Server verteilen. Dazu muss ein Partner lediglich einen speziellen `CNAME`-DNS-Eintrag machen, damit wir berechtigt sind, das Zertifikat für diese Domains zu aktualisieren.
  3. Benutzerdefinierte Domain:
    • 3.1 Sollte das Zertifikat auf der IACBOX selbst aktualisiert werden, so ist das nur über die ACME-DNS-Challenge möglich. Die IACBOX wird noch im Laufe der v24 einen ACME-Client erhalten, der dies ermöglichen wird.
    • 3.2 Wenn das Zertifikat extern erneuert wird, weil es z. B. ein Wildcard-Zertifikat ist, das auch auf anderen Systemen verwendet wird, dann kann man künftig ein Zertifikat auch über die Batch-API installieren. Damit lassen sich mithilfe einfacher Skripte die Zertifikate nach ihrer Aktualisierung auf die IACBOX kopieren und installieren.

Wie funktioniert die automatische Zertifikats-Verlängerung?

Die Let’s-Encrypt-Initiative war ein Vorreiter der automatisierten Zertifikats-Verlängerung. Sie hat normale, domainvalidierte Zertifikate für alle kostenfrei verfügbar gemacht. Diese Zertifikate gelten derzeit für 90 Tage. Für das automatisierte Ausstellen des Zertifikats und seine Verlängerung wurde das ACME-Protokoll erfunden. ACME steht für Automatic Certificate Management Environment und ist ein Protokoll, das es ermöglicht, Zertifikate automatisch zu erstellen, zu verwalten und zu aktualisieren. Es gibt von anderen CAs auch proprietäre Automatisierungsmethoden. ACME ist jedoch ein offener Standard, der von verschiedenen CAs unterstützt wird.

Damit man eine Domain validieren kann, muss man beweisen, dass man diese Domain besitzt und die Kontrolle über diesen Server bzw. diese Domain hat. Ursprünglich hat ACME nur die sogenannte HTTP-Challenge (= Beweis) unterstützt. Diese Challenge funktioniert so, dass man eine spezielle Datei auf den Server legt, die der CA-Server dann abfragt. Wenn die Datei existiert und den korrekten Inhalt hat, wird das Zertifikat ausgestellt.

Für Server wie die IACBOX, die meist ohne öffentliche IP-Adresse hinter einer Firewall am Netz hängen, funktioniert das aber nicht oder zumindest nicht ohne Port-Forwardings. Deshalb wurde später die DNS-Challenge eingeführt. Diese Challenge funktioniert so, dass ein spezieller DNS-Eintrag angelegt wird, den der CA-Server dann abruft. Wenn der Eintrag existiert und der Wert übereinstimmt, wird das Zertifikat ausgestellt.

Dazu muss der verwendete DNS-Provider jedoch eine API zur Verfügung stellen über welche man DNS Einträge erstellen und löschen kann.

Zusätzliche neue Standard Domains

An dieser Stelle dürfen wir noch eine Neuerung bekannt geben – es wird bald kostenlos zwei neue Standard Domains geben die auf jeder IACBOX ausgewählt werden können. Diese neuen Domains sind kürzer, was vor allem bei Anmelde-Links in Emails und SMS hilft. Weiters wird die IACBOX auch an vielen Standorten eingesetzt an denen die WLAN Benutzer nicht als „Gäste“ bezeichnet werden können (z.B. in Krankenhäusern). Diese neuen Domains bieten hier einen allgemeineren Namen und durch ein Wildcard Zertifikat auch die Möglichkeit selbst die Sub-Domain zu bestimmen.

  • *.iacbox.surf
  • *.login.surf

Die bisherige Standard-Domain hotspot.internet-for-guests.com wird aber mittelfristig noch erhalten bleiben. Das Zertifikat für diese Domain wird jedoch 2026 auch auf ein kurzlebiges Zertifikat umgestellt.

Ausblick

Es ist noch genug Zeit, um sich auf die kurzlebigen Zertifikate einzustellen. Administratoren, die eine große Anzahl an Diensten betreiben, beginnen allerdings jetzt schon mit der Planung. Die IACBOX wird jedenfalls rechtzeitig gerüstet sein, mit verschiedenen Methoden zur Zertifikats-Erneuerung. Wir informieren Sie, sobald es hierzu Neuigkeiten gibt.

Bleiben Sie sicher und aktuell mit IACBOX Software Maintenance.

 

Sie sind UnternehmerIn und suchen eine Lösung für diese Anforderungen? Oder sind Sie DienstleisterIn und beraten Unternehmen bei kabellosen oder kabelgebundenen Netzwerklösungen?

Starten wir gemeinsam ein Projekt

Privatsphäre-Einstellungen

Wir verwenden Cookies, um Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Mehr Informationen

Alle akzeptieren
Speichern & schließen