Änderungen bei SSL Zertifikaten / Domainvalidierung / Datenschutzrecht

Derzeit tut sich einiges beim den Themen SSL-Zertifikate, deren Validierung auf Domainbasis und beim Datenschutzrecht. Alle Webseitenbetreiber, die dies betrifft, sollten sich auf diese Änderungen vorbereiten.

SSL-Zertifikate

Das CA/B-Forum (Certificate Authority/Browser Forum) hat kürzlich beschlossen, dass ab dem 01.03.2018 die Laufzeit von SSL-Zertifikaten noch maximal 825 Tage beträgt. Dies entspricht etwa 27 Monaten - somit sind Zertifikate mit 3 Jahren Laufzeit ab diesem Zeitpunkt nicht mehr erhältlich. Deshalb wird GlobalSign ab sofort nur noch Zertifikate mit maximal 825 Tagen Laufzeit ausstellen - andere CA's werden spätestens ab dem 01.03.2017 dieser Regelung folgen. Auch Verlängerungen von Zertifikaten mit einer Laufzeit von mehr als 27 Monaten sind ab diesem Zeitpunkt nicht mehr möglich - das betreffende (zu verlängendere) Zertifikat wird dann auf eine maximale Laufzeit von 825 Tagen verkürzt.

Domainvalidierung von Zertifikaten

Ebenfalls wurde eine Änderung bei der Domainvalidierung beschlossen. Dies ist allerdings eine eher kleinere Änderung in den Details. Es stehen folglich immer noch die Dateibasierte, DNS basierte, WHOIS basierte und telefonische Validierung zur Verfügung, es ändern sich lediglich technische Details wie etwa das Dateiformat bei der Dateibasierten Validierung, oder der Eintragstyp bei der DNS basierten Validierung, etc.

Die Änderungen im Detail:

Dateibasiert

  • Dateiformat ist nun TXT statt HTML
  • Der Validierungsstring wird von 32 auf 64 Zeichen verdoppelt
  • Der vollständige Pfad zur Validierungsdatei muss nun /.well-known/pki-validation/fileauth.txt lauten
  • Der Zeitstempel wird nun als "Order date minus 7 days" festgelegt
  • Es wird HMAC with SHA2 als Erstellungsprozess für den Shared Key verwendet
  • Die APIs für das Bestellen, Neuausstellen und Zurückziehen von Zertifikaten ändert sich in "removed from response"

DNS-basiert

  • Der Eintragstyp muss nun als TXT festgelegt werden
  • Der Validierungsstring wird von 32 auf 64 Zeichen verdoppelt
  • Der DNS Eintrag muss nun als "random_string IN TXT" festgelegt werden

WHOIS-basiert

  • Der Validierungsstring wird von 32 auf 64 Zeichen verdoppelt
  • Der Link zur Bestätigung des Authentifizierung ist nun nur noch 30 Tage gültig

Telefonisch

  • Für die telefonische Validierung ist nun ein Eintrag in einem öffentlichen Telefonverzeichnis notwendig, wie etwa upik.de, firmenwissen.de oder einem anderen lokalen Verzeichnis, etwa auskunft.at für Österreich oder tel.kompass.ch für die Schweiz.

Datenschutzrecht

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSVGO) in Kraft - diese betrifft jeden, der Daten von EU-Bürgern z.B. auf Webseiten sammelt. Dies bedeutet, dass auch Firmen/Organisationen, die nicht in der EU ansässig sind, diese Verordnung beachten müssen. Daten über EU-Bürger müssen demnach mit größerer Sorgfalt als bisher behandelt werden, zudem hat der Einzelne das Recht seine Daten einzusehen, zu übertragen oder komplett löschen zu lassen. Zudem dürfen Daten europäischer Nutzer nur unter größeren Auflagen die EU verlassen. Die IT-Verantwortlichen von Unternehmen sollten sich schon frühzeitig mit diesem Thema beschäftigen und Ihre Datenschutzrichtlinien überprüfen.

Fazit:

Die anstehenden Änderungen bei SSL-Zertifikaten, deren Validierung und Laufzeit ist keine wirklich große Änderung - statt für 3 Jahre werden Zertifikate nun nur noch für 2 Jahre ausgestellt. Die Validierungsänderung betrifft hauptsächlich nur technische Details wie etwa den Speicherort der entsprechenden Datei, oder das Dateiformat. Anders sieht es beim Datenschutz aus - die Daten europäischer Nutzer dürfen künftig die EU nicht verlassen, oder nur unter großen Auflagen bzw bei vergleichbaren Datenschutzstandards.

Quellen:
https://cabforum.org/2017/03/17/ballot-193-825-day-certificate-lifetimes/
https://www.psw-group.de/hot-update/#c1647
https://www.it-daily.net/it-sicherheit/datenschutz/15963-ein-jahr-bis-zur-dsgvo-zurueck-zu-den-grundlagen

2017-07-11