Eine der wichtigsten Aufgaben für ein Unternehmen, das eine mit einem SSL-Zertifikat gesicherte Website betreibt, ist die regelmäßige Pflege und Aktualisierung dieses Zertifikats. Warum ist das so wichtig? Für welchen Zeitraum werden SSL-Zertifikate ausgestellt und welche Konsequenzen drohen, wenn ihre Gültigkeit abläuft?
Gültigkeitsdauer
Zertifikate werden nicht unbefristet vergeben, sondern besitzen eine festgelegte Gültigkeitsdauer. Die entsprechenden Richtlinien werden ständig angepasst. Zu Beginn lag die Gültigkeitsdauer bei ganzen 5 Jahren. Später wurde diese auf 3 Jahre reduziert, und diese Regelung galt bis Anfang 2018. Seit März 2018 wurde die maximale Laufzeit erneut verkürzt und betrug höchstens 2 Jahre. Wie man sieht, ist der Trend eindeutig: Die Gültigkeitsdauer wird immer weiter verkürzt. Derzeit beträgt die Laufzeit von SSL-Zertifikaten 1 Jahr. Es ist jedoch möglich, die Nutzung von mehrjährigen Zertifikaten über ein 3-jähriges SSL-Zertifikats-Abonnement zu vereinfachen: mehrjahriges-ssl-zertifikat-abonnement
Gründe für diese Einschränkungen
Was ist der Grund für diese Änderungen? Die steigenden Anforderungen sollen für größtmögliche Sicherheit der Internetnutzer sorgen. Betrüger werden immer findiger und entwickeln ständig neue Methoden zum Datendiebstahl. Bei der Ausstellung eines SSL-Zertifikats – je nach Zertifikatstyp – werden unter anderem das Recht des Unternehmens zur Nutzung der betreffenden Domain, die Übereinstimmung der Firmendaten mit der Realität, der rechtliche Status sowie weitere Informationen überprüft, um die Vertrauenswürdigkeit des jeweiligen Anbieters sicherzustellen.
Da sich im Internet Dinge schnell ändern, ist eine fortlaufende Überprüfung notwendig. Domains können mehrfach den Besitzer wechseln, ebenso wie die Unternehmensanteile der sie verwaltenden Firmen. Eigentümerwechsel bringen neue Risiken für das Zertifizierungssystem mit sich. Würden Zertifikate unbegrenzt gültig bleiben, könnte eine Website mitsamt ihres Zertifikats endlos an neue Eigentümer weiterverkauft werden. Jeder neue Besitzer könnte sich dann mit einem gültigen Zertifikat schmücken, ohne dass dessen Daten jemals erneut überprüft würden. Durch die Begrenzung der Gültigkeitsdauer und die Pflicht zur regelmäßigen Erneuerung werden solche Situationen verhindert. Je häufiger erneuert werden muss, desto schneller fallen Änderungen an einer Website auf und werden vom Zertifizierungsorgan aufgedeckt. Dies erhöht die Sicherheit der Internetnutzer merklich und verringert die Wahrscheinlichkeit, dass deren Daten in falsche Hände geraten.
Negative Folgen eines ungültigen Zertifikats
Was passiert, wenn ein SSL-Zertifikat nicht mehr gültig ist? Praktisch alle Internetbrowser erkennen automatisch ein abgelaufenes Zertifikat, sobald eine Verbindung zur betreffenden Seite hergestellt wird. Dies ist für jeden Besucher sofort sichtbar. Nach Ablauf der Gültigkeit blockieren Browser den Zugriff auf die Website und zeigen eine deutliche Warnmeldung an, dass das Zertifikat abgelaufen ist und die Verbindung nicht sicher ist.
Es liegt auf der Hand, dass eine solche Warnung bei jedem Besuch die Zahl der Seitenaufrufe dramatisch reduziert. Zwar bieten Browser in der Regel die Möglichkeit, die Warnung zu ignorieren und trotzdem auf die Seite zuzugreifen, aber die überwiegende Mehrheit der Besucher wird davon absehen – ein sehr vernünftiges Verhalten, das auch von Sicherheitsexperten empfohlen wird. Diese Situation schadet nicht nur dem Image des Unternehmens und untergräbt das Vertrauen in seine Marke, sondern kann auch direkte finanzielle Folgen haben, vor allem für Onlineshops, die ihren gesamten Handel über das Internet abwickeln.
Aus diesem Grund sollten Seitenbetreiber und -inhaber sehr sorgfältig darauf achten, dass ihre SSL-Zertifikate stets gültig sind.