Nachdem Google 2023 mit einem ähnlichen Vorhaben scheiterte, brachte Apple am 08.10.2024 einen neuen Vorschlag im CA/Browser-Forum ein. Ziel ist es, die maximale Gültigkeitsdauer von öffentlich gültigen TLS-Serverzertifikaten schrittweise auf 45 Tage zu begrenzen.
Primär soll dadurch die Relevanz von Sperrmechanismen, denen Browser-Hersteller ohnehin skeptisch gegenüberstehen, verringert werden. Dies senkt das Risiko durch überflüssige oder gar kompromittierte, aber nicht gesperrte Serverzertifikate.
Gleichzeitig soll die „Cache“-Zeit für eine einmal erfolgte Validierung von OV/EV-Angaben auf 366 Tage reduziert werden. Für DNS-Namen oder IP-Adressen soll diese Zeit sogar auf 10 Tage verkürzt werden. Bisher dürfen Trustcenter einmal validierte Unterlagen wie Handelsregisterauszüge bis zu 825 Tage lang wiederverwenden und sich so die aufwändige erneute Prüfung bei einer Verlängerung ersparen.
Technisch würde dadurch das ACME-Protokoll weiter an Bedeutung gewinnen, mit dem Zertifikatsverlängerungen alle 30 bis 40 Tage automatisiert und dabei stets die DNS-Namen validiert werden können.
Der Vorschlag würde zudem die Position der Browser-Hersteller gegenüber problematischen Trustcentern stärken. Nach einem Vertrauensentzug stünden deren Kunden noch schneller ohne gültige Zertifikate da. Wer Dutzende öffentlich gültiger Serverzertifikate nutzt, ist gut beraten, einen Zweitlieferanten in petto zu haben.
Darüber hinaus könnte die kürzere Gültigkeit den Übergang zu PQC-Zertifikaten erleichtern, der ab etwa 2030 zu erwarten ist.