Einem neuen Bericht zufolge möchte Apple die Sicherheit in Safari erhöhen. Demnach plant Apple Webseiten-Betreiber zu einer häufigeren Aktualisierung der Zertifikate zu bewegen.
Einem neuen Bericht von The Register zufolge hat Apple angekündigt, eine Änderung in Safari vornehmen zu wollen. Demnach sollen Nutzer ab dem 01. September 2020 davor gewarnt werden, wenn eine Webseite die sie besuchen, ein TLS/SSL-Zertifikat verwendet, das länger als 13 Monate lang besteht. Dabei spielt es keine Rollen, ob das Zertifikat noch gültig ist. In einem solchen Fall wird die Webseite innerhalb von Safari markiert. Doch wozu soll diese Änderung dienen? Apple möchte dem Bericht zufolge sicherstellen, dass Webseiten die neuesten verfügbaren Zertifikate und Technologien verwenden. Es gibt Webseiten, die beispielsweise alle zwei oder drei Jahre das nötige Zertifikat erneuern. Diese laufen dabei Gefahr, eine veraltete Technologie zu nutzen. So heißt es in dem Bericht:
Das Ziel des Umzugs ist es, die Sicherheit von Websites zu verbessern, indem sichergestellt wird, dass Entwickler Zertifikate mit den neuesten kryptografischen Standards verwenden und die Anzahl alter, vernachlässigter Zertifikate zu reduzieren, die möglicherweise gestohlen und für Phishing- und Drive-by-Malware-Angriffe wiederverwendet werden könnten. Wenn es Kriminellen gelingt, die Kryptographie eines SSL/TLS-Standards zu durchbrechen, sorgen kurzlebige Zertifikate dafür, dass die Menschen innerhalb von etwa einem Jahr auf sicherere Zertifikate umsteigen.
Manche Unternehmen müssen ihre Politik anpassen
Für Safari-Nutzer klingt das Ganze natürlich interessant. Doch nicht jeder ist von Apples Plan begeistert. So hat die SSL-Verwaltungsfirma Sectigo gegenüber The Register vor negativen Konsequenzen gewarnt. So soll die häufige Aktualisierung von Zertifikaten die Wahrscheinlichkeit erhöhen, dass etwas schief läuft. Im Bericht heißt es:
Unternehmen müssen sich um Automatisierung bemühen, um die Einführung, Erneuerung und das Lebenszyklusmanagement von Zertifikaten zu unterstützen, um den Personalaufwand und das Fehlerrisiko zu reduzieren, wenn die Häufigkeit des Zertifikatsaustauschs zunimmt.
Es gibt Unternehmen, die beispielsweise nur alle zwei Jahre das eigene SSL-Zertifikat aktualisieren. Dazu gehört beispielsweise Microsoft. Sollte der Konzern die Politik beibehalten, so wird es auf Dauer zu Problemen kommen.
Der Zweck von SSL-Zertifikaten
Nicht jedem ist das sogenannte SSL-Zertifikat ein Begriff. Deshalb hier eine kurze Erklärung. Das bekannte „HTTPS“ ist eine sichere Version des Webprotokolls „HTTP“. Das heißt, „HTTPS“ sorgt für eine verschlüsselte Kommunikation zwischen dem Besucher und dem jeweiligen Server. Ein solches SSL-Zertifikat schützt im Grunde genommen Nutzer vor „Man in the Middle“-Angriffen, da der Datenverkehr verschlüsselt wird. Würde eine Webseite lediglich HTTP verwenden, so wären Daten wie Benutzernamen und Passwörter im Klartext einsehbar. Wenn also eine Webseite geöffnet wird, überprüft der Browser (in diesem Fall Safari), ob die Webseite über ein gültiges Sicherheitszertifikat verfügt. Ist das nicht der Fall, so erscheint eine Warnung. Nach zusätzlicher Bestätigung kann die jeweilige Webpräsenz trotzdem geöffnet werden – davon wird allerdings abgeraten. (Photo by Senir Design / Bigstockphoto)
