none
Active Directory und PKI RRS feed

  • Frage

  •  

    Hallo,

    seit dem 01.09.2020 darf die Laufzeit  für  SSL -Zertifkate nicht mehr als ein Jahr überschreiten.

    Wir haben unsere Zertifikatsvorlage allerdings erst im Frühjahr 2021 angepasst. Sie war auf fünf Jahre eingestellt.

    Zertifikate vom November 2020 mit einer Laufzeit von 5 Jahren werden als ok angezeigt. 

    Das verstehe ich nicht. Da müsste doch eine Warnung kommen. 

    Ich setzte aktuelle Browser-Versionen ein.


    Mittwoch, 16. Juni 2021 09:43

Antworten

  • Moin,

    es haben sich einfach die Mitglieder des CA & Browser Consortiums darauf geeinigt, dass bei denen es so sein soll. Es gibt keine technisch erzwungene Beschränkung, und schon gar nicht für private PKI. Da kannst Du auch ein Zertifikat für 20 Jahre ausstellen, und es wird akzeptiert.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Tango_ball Freitag, 18. Juni 2021 07:00
    Freitag, 18. Juni 2021 04:59

Alle Antworten

  • Die Aussage muss so lauten:
    Das Zertifikat kann nur noch max. 1 Jahr über sein Laufzeitende hinaus verwendet werden und muss spätestens dann erneuert werden.
    Bisher konnten auch abgelaufene Zertifikate beliebig lang weiter verwendet werden, da die Warnungen ignoriert werden können.
    Ich finde: das ist eine neue Gelddruck-Maschine.
    Donnerstag, 17. Juni 2021 09:12
  • Hallo,

    "Das Wichtigste zuerst: Dies tritt am 1. September 2020 in Kraft. Wenn Sie also ein zweijähriges Zertifikat verwenden, das vor dem 1. September ausgestellt wurde, bleibt Ihr Zertifikat bis zum ursprünglichen Ablaufdatum gültig. Sie können nur zwei Jahre lang nicht verlängern.

    Oder anders ausgedrückt: Sie haben bis zum ersten September Zeit, um zweijährige Zertifikate zu erhalten. Danach werden sie in den Desktop-Recyclingbehälter der Geschichte verbannt."

    Referenz: Maximum SSL/TLS Certificate Validity One Year (globalsign.com)

    Freundliche Grüße,
    Hannah

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Freitag, 18. Juni 2021 03:25
  • Moin,

    es haben sich einfach die Mitglieder des CA & Browser Consortiums darauf geeinigt, dass bei denen es so sein soll. Es gibt keine technisch erzwungene Beschränkung, und schon gar nicht für private PKI. Da kannst Du auch ein Zertifikat für 20 Jahre ausstellen, und es wird akzeptiert.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Tango_ball Freitag, 18. Juni 2021 07:00
    Freitag, 18. Juni 2021 04:59
  • Moin,

    es haben sich einfach die Mitglieder des CA & Browser Consortiums darauf geeinigt, dass bei denen es so sein soll. Es gibt keine technisch erzwungene Beschränkung, und schon gar nicht für private PKI. Da kannst Du auch ein Zertifikat für 20 Jahre ausstellen, und es wird akzeptiert.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Hallo Evgenij,

    vielen Dank, das wäre natürlich die Erklärung für mein festgestelltes Verhalten.

    Und sehr schön, dass spart uns natürlich sehr viel Arbeit.

    Tango_ball


    • Bearbeitet Tango_ball Freitag, 18. Juni 2021 07:03
    Freitag, 18. Juni 2021 07:00