Wenn ich über Zertifikate rede, dann meine ich Digitale Zertifikate. Das sind z.B. SSL/TLS Zertifikate, welche die meisten von euch aus dem Web-Browser kennen. Immer gut erkennbar durch das Schloss-Symbol in der Adressleiste deines Webbrowsers.
Zertifikate werden zu einem bestimmten Zeitpunkt ausgestellt und sind dann für eine Zeit X gültig. Das können bei LetsEncrypt z.B. 90 Tage sein. Üblich sind aber auch Zeitspannen von zwei oder drei Jahren. In gewissen Bereichen werden leider auch gerne Zertifikate mit der maximalen Gültigkeitsdauer verwendet. Wir sprechen hier von mehreren Jahrzehnten. Das sind dann meist Industrieanlagen, die dann hoffentlich wenigstens abgeschottet vom Internet laufen.
Beim Herstellen einer Verbindung zu einem Server wird das Zertifikat auf Gültigkeit geprüft. Das heißt: Ist das Ablaufdatum des Zertifikats in der Zukunft und ist die Zertifikatskette valide? Wenn ja, dann wird die Verbindung akzeptiert, andernfalls wird sie abgelehnt.
Es gibt auch einige Stellen, welche die Zertifikatsprüfung abschalten oder abschwächen. Das darf aus Sicherheitsaspekten niemals geschehen, gemacht wird es manchmal leider trotzdem.
Da ein Zertifikat ein Ablaufdatum hat, bedeutet das auch, dass Zertifikate erneuert werden müssen. Ideal dafür ist ein automatisches Rotieren wie z.B. bei LetsEncrypt. Gibt es das nicht, dann müssen die Zertifikate rechtzeitig vor Ablauf in einem manuellen Prozess ausgetauscht werden. Das sollte bei Zertifikaten mit mehr als einem Jahr Gültigkeit etwa 90 Tage vor Ablauf angestoßen werden. Die Zertifikate müssen je nach Aussteller zu erst bestellt und je nach Sicherheitsanforderungen ggf. mit der Post verschickt werden. Spätestens 30 Tage vor Ablauf sollten sie dann tatsächlich ausgetauscht werden.
Als generelle Richtlinie gilt: Zertifikate sollten so kurz wie möglich gültig sein. Im Fall einer Kompromittierung eines Zertifikats gibt es zwei Möglichkeiten damit umzugehen. Ein Zertifikat kann in solch einem Fall entweder ersetzt oder zurückgezogen werden. Das Zurückziehen von Zertifikaten hat sich jedoch in der Praxis nicht etabliert. Stattdessen wird bei einer Kompromittierung schlichtweg das Zertifikat mit einem neuen ersetzt. Sind dann aber noch Zertifikate mit langer Gültigkeit im Umlauf, dann ist das ein Sicherheitsrisiko. Bei kurzer Gültigkeitsdauer ist dieses Sicherheitsrisiko wesentlich geringer, da die Zeitspanne bis zum Ablauf wesentlich kürzer ist.
Signaturzertifikate
Werden Anwendungen mit einem Zertifikat signiert, dann gibt es noch eine Besonderheit. Es wäre doof, wenn eine lokal installierte Anwendung nach Ablauf des Signaturzertifikats plötzlich nicht mehr funktioniert.
Deshalb gibt es in diesem Fall eine Option beim Signaturvorgang, Timestamping genannt. Die besagt, dass das Zertifikat sofern es bei der Signierung gültig war, auch nach Ablauf des Signaturzertifikats noch akzeptiert wird. Diese Option sollte immer genutzt werden.