Anmelden Registrieren
EN

So erneuern Sie Ihre TLS-Zertifikate

Nov 25, 2022
8 min read
Borislav Kiprin

In diesem Artikel:

  1. Sicherheitsbewertung von TLS-Zertifikaten
  2. Was ist ein SSL/TLS-Zertifikat?
  3. Warum Sie Ihr SSL/TLS-Zertifikat erneuern müssen
  4. Wie Sie die Gültigkeit Ihrer TLS-Zertifikate überprüfen können
  5. Erneuerung von TLS-Zertifikaten
  6. Häufig gestellte Fragen
Identifizieren Sie TLS-Zertifikat-Schwachstellen in Ihren Webanwendungen und APIs
Jetzt kostenlos testen

Die Aktivierung von HTTPS auf Ihrer Website ist einfach und unkompliziert und bietet Ihren Website-Besuchern und -Nutzern mehr Sicherheit. Dies ist allerdings nur möglich, wenn Sie ein SSL/TLS-Sicherheitszertifikat erwerben.

Die Zertifikate laufen in regelmäßigen Abständen ab und müssen daher erneuert werden, um die Verbindung zwischen Client und Server und die Sicherheit der Daten Ihrer Nutzer zu gewährleisten.

Hier erfahren Sie, was Sie über die Erneuerung von TLS-Zertifikaten wissen müssen.

Sicherheitsbewertung von TLS-Zertifikaten

Security Assessment Renew TLS Certificates

CVSS-Vektor: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Was ist ein SSL/TLS-Zertifikat?

SSL- und TLS-Zertifikate sind digitale Serverzertifikate, die von einer Zertifizierungsstelle (CA) ausgestellt werden. Sie garantieren, dass der Inhaber des Zertifikats derjenige ist, der er vorgibt zu sein, und ermöglichen es den Benutzern, einer Website zu vertrauen. Das heißt, sie ermöglichen es den Kunden, die Identität eines Servers/einer Domäne festzustellen und zu überprüfen.

Wenn sie von einer Zertifizierungsstelle ausgestellt werden, nennt man sie vertrauenswürdige Zertifikate. Sie ermöglichen es Websites, das Hypertext Transfer Protocol Secure (HTTPS) über das Transport Layer Security (TLS)-Protokoll zu verwenden und Informationen mit Benutzern über eine sichere und verschlüsselte Verbindung auszutauschen.

Eine Zertifizierungsstelle ist eine unabhängige Organisation, die das Recht hat, solche Zertifikate auszustellen, nachdem sie mehrere Prüfungen durchgeführt hat, bei denen die antragstellende Partei überprüft und validiert wird. Danach stellt sie das Zertifikat aus, das durch das so genannte Root-Zertifikat der CA – die Quelle ihrer Autorität – abgesichert ist.

Ein von der Zertifizierungsstelle ausgestelltes SSL/TLS-Zertifikat enthält die folgenden Informationen:

  • den Domainnamen des Zertifikatsinhabers
  • die Zertifizierungsstelle, die das Zertifikat ausgestellt hat
  • die digitale Signatur der Zertifizierungsstelle, mit der das Zertifikat gesichert ist
  • Die Gültigkeitsdauer des Zertifikats
  • Der öffentliche Schlüssel des Zertifikats, der zur Verschlüsselung der Kommunikation mit dem Zertifikat verwendet wird
  • Die SSL/TLS-Version des Zertifikats

Websites mit gültigen Zertifikaten haben ein Vorhängeschloss-Symbol, eine grüne Adressleiste und ein HTTPS-Präfix. Dies bedeutet, dass sie nur eine sichere Verbindung verwenden.

Ein TLS-Zertifikat und die Verwendung von HTTPS haben viele Vorteile. Die Verwendung eines vertrauenswürdigen Zertifikats bedeutet, dass die privaten Daten der Benutzer durch Verschlüsselung geschützt sind und erhöht das Vertrauen der Benutzer in die Sicherheit der Domain. Ein Zertifikat kann auch Teil der gesetzlichen Anforderungen für bestimmte Unternehmen sein, z. B. für solche, die mit hochsensiblen persönlichen und finanziellen Daten arbeiten. Schließlich eignet sich ein Zertifikat auch für SEO-Zwecke, da der SSL/TLS-Schutz von den wichtigsten Suchmaschinen als Faktor für das Suchranking angesehen wird.

Die Bezeichnung SSL/TLS-Zertifikate ist zwar akzeptabel, aber eigentlich irreführend. SSL ist seit einiger Zeit veraltet, und derzeit wird nur noch die Verwendung von TLS-Zertifikaten empfohlen, insbesondere die TLS-Versionen 1.2 und 1.3. Viele ältere Systeme verwenden jedoch ungeachtet der offiziellen Empfehlungen immer noch SSL-Protokolle und ältere TLS-Protokolle.

Möchten Sie mehr über die Funktionsweise des TLS-Protokolls erfahren? Lesen Sie unseren Leitfaden zu TLS-Sicherheitseinstellungen und zur Aktivierung der TLS-Verschlüsselung. Zum besseren Verständnis der Funktionen dieser Protokolle können Sie sich auch unseren Leitfaden über das Zusammenspiel von HTTPS- und TLS-Protokollen ansehen.

Präventionsleitfaden für SSL/TLS-Schwachstellen

Leitfaden

Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.

Mehr erfahren

Warum Sie Ihr SSL/TLS-Zertifikat erneuern müssen

Ihr SSL/TLS-Zertifikat kann maximal 13 Monate oder, um genau zu sein, 397 Tage gültig sein. Die Gültigkeitsdauer von Zertifikaten wurde im Laufe der Zeit verkürzt, um die Sicherheit von Websites und der gesamten Public Key Infrastructure (PKI) zu erhöhen.

Die begrenzte Gültigkeitsdauer eines Zertifikats verringert die Wahrscheinlichkeit, dass jemand es stiehlt oder für seine Zwecke missbraucht. Wenn beispielsweise eine Domäne ausläuft, ihr Zertifikat aber weiterhin gültig ist, könnte es jemand für eine Website verwenden, die nicht von einer Zertifizierungsstelle überprüft und genehmigt wurde. Dies öffnet Angreifern Tür und Tor, um betrügerische Websites zu erstellen und andere Möglichkeiten zu nutzen, um sensible Benutzerdaten zu stehlen.

Wenn das Zertifikat einer Website abläuft, geben die Browser der Besucher eine Warnung aus, dass die Website nicht sicher ist und ein Sicherheitsrisiko darstellen könnte. In bestimmten Fällen können Browser den Besuch von Websites, die aufgrund abgelaufener oder gefährdeter Zertifikate als Sicherheitsrisiko gelten, sogar gänzlich blockieren.

Daher muss das Zertifikat regelmäßig erneuert werden, damit eine Website sicher bleibt.

Wie Sie die Gültigkeit Ihrer TLS-Zertifikate überprüfen können

Die einfachste Möglichkeit, das Ablaufdatum Ihres TLS-Zertifikats zu überprüfen, besteht darin, zu Ihrer Website zu navigieren, auf das Vorhängeschloss-Symbol zu klicken und den Sicherheitsstatus der Website sowie die Gültigkeit des Zertifikats zu überprüfen.

Da es sich jedoch um Ihr Zertifikat handelt, können Sie auch den Zertifikatsspeicher in der Serverumgebung überprüfen, in dem die Gültigkeit aller installierten Zertifikate angegeben ist. Wenn Sie einen Zertifikatsmanager verwenden, können Sie auch damit die Gültigkeit Ihres Zertifikats überprüfen.

Sie müssen nicht auf den letzten Tag warten, um Ihr Zertifikat zu erneuern. Es ist auch möglich, es vor dem Ablaufdatum zu erneuern. Weitere Informationen dazu finden Sie im folgenden Abschnitt.

Erneuerung von TLS-Zertifikaten

Zertifikate können bis zu 90 Tage vor ihrem Ablaufdatum erneuert werden. Wenn Sie Ihr Zertifikat 30 Tage vor dem Ablaufdatum erneuern, werden die verbleibenden Tage auf Ihr neues Zertifikat übertragen.

Normalerweise durchläuft die Erneuerung Ihres Zertifikats die folgenden vier Hauptschritte. Je nach System und Backend des Webhosting-Kontrollpanels oder des Domainnamenserverdienstes kann es jedoch geringfügige Unterschiede geben.

Zunächst müssen Sie eine Zertifikatsignierungsanforderung (CSR) vom Webhost erstellen. Damit wird die Identität des Servers validiert und ein CSR-Code generiert, den Sie zur Aktivierung des Zertifikats im cPanel benötigen. Sie müssen den generierten CSR-Code angeben, um das Zertifikat zu aktivieren. Der dritte Schritt ist die erneute Validierung Ihrer Domain-Eigentümerschaft über eine Validierungs-E-Mail, HTTP-Validierung oder DNS-Validierung. Schließlich müssen Sie die neue Zertifikatsdatei installieren.

Dies sind die allgemeinen Schritte, die Sie normalerweise für die Erneuerung Ihres Zertifikats durchlaufen müssen. Je nach Ihren Zertifikaten, Ihrem Backend-Service und Ihrer Zertifizierungsstelle kann es jedoch Unterschiede im Erneuerungsprozess geben. Außerdem kann es möglich sein, dass Sie die automatische Erneuerung über Ihren Zertifikatsverwaltungsdienst aktivieren. Um Ihr Zertifikat in OpenSSL oder Let’s Encrypt zu erneuern, verwenden Sie eine der folgenden Anleitungen:

OpenSSL

Um eine Zertifikatssignierungsanforderung für Ihr Zertifikat zu erzeugen, führen Sie aus:

openssl req -new -key ssl/certificate.key -out ssl/certificate_signing_request.csr

Dabei wird davon ausgegangen, dass Ihr zu erneuerndes Zertifikat (einschließlich des privaten Schlüssels) inssl/certificate.key gespeichert ist. Senden Sie dann diecertificate_signing_request.csr an Ihre Zertifizierungsstelle. Diese signiert Ihr Zertifikat anhand dieser Anforderung und stellt Ihnen das signierte Zertifikat zur Verfügung. Wenn Sie das signierte Zertifikat alsnew.crt zurückerhalten, können Sie den Schlüssel und das signierte Zertifikat wie folgt kombinieren:

cp ssl/certificate.key ssl/new.pem
cat ssl/new.crt >> ssl/new.pem

Die resultierende Datei new.pem können Sie in das Verzeichnis Ihres Webservers kopieren, um sie in der Webanwendung zu verwenden.

Let’s Encrypt

Wenn Sie Let’s Encrypt als Ihre Zertifizierungsstelle verwenden, führen Sie den Befehl certbot renew aus:

certbot renew

Um die manuelle Erneuerung zu aktivieren, fügen Sie den Befehl renew zu Ihrer crontab hinzu, indem Sie Sudo crontab -e ausführen:

# m h   dom mon dow command
  0 0   *   *   0   certbot renew

Dadurch wird der renew-Befehl einmal pro Woche um Mitternacht ausgeführt, um alle Ihre Zertifikate zu erneuern.

Häufig gestellte Fragen

Warum muss ich ein neues Zertifikat installieren, wenn ich mein aktuelles Zertifikat erneuere?

Streng genommen erneuern Sie nicht Ihr ursprüngliches Zertifikat. Sie erhalten ein völlig neues Zertifikat. Die Zertifizierungsstellen verankern das Ablaufdatum eines Zertifikats fest darin, d. h., wenn es abläuft, ist es ungültig. Obwohl es also als Erneuerung bezeichnet wird, handelt es sich um ein völlig neues Zertifikat.

Muss ich bei der Erneuerung meines Zertifikats auch meine CSR erneuern?

Normalerweise muss eine neue Zertifikatssignierungsanforderung (CSR) erstellt werden, um ein neues Zertifikat zu erhalten. Die aktuelle CSR erstellt neue öffentliche und private Schlüsselpaare für das neue Zertifikat. Aus diesem Grund erhöhen häufigere Zertifikatserneuerungen die Sicherheit – sie verringern die Zeit, in der ein bestimmtes Schlüsselpaar verwendet wird und kompromittiert werden kann.

Wie lange dauert es, ein TLS-Zertifikat zu erneuern?

Die Dauer der Erneuerung ist dieselbe wie bei der ursprünglichen Beantragung Ihres Zertifikats. Sie hängt von dem Zertifikat ab, das Sie erneuern, und von dem Validierungsprozess, den es durchlaufen muss. Je komplexer und langwieriger der Validierungsprozess ist, desto länger dauert es, ein neues Zertifikat auszustellen. Domain-validierte (DV) Zertifikate werden in der Regel sofort ausgestellt, organisations-validierte (OV) brauchen bis zu drei Tage, und extended-validierte (EV) können bis zu fünf Tage dauern.

Was passiert, wenn ein TLS-Zertifikat abläuft?

Nehmen wir an, Sie haben es versäumt, Ihr Zertifikat rechtzeitig zu erneuern. In diesem Fall zeigen Webbrowser den Besuchern Ihrer Website die Meldung „Nicht sicher“ sowie weitere Warnungen über die Sicherheitsrisiken an, die mit der Nutzung einer Website ohne gültiges Zertifikat verbunden sind.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit https://example.com
Wir scannen derzeit https://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 21/09/2023
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.

Weitere Artikel

crashtest security veracode thumb de 1 Veracode übernimmt deutschen Softwarehersteller Crashtest Security
Dez 12, 2022
3 min read
Veracode übernimmt deutschen Softwarehersteller Crashtest Security
gespeicherte CSRF-Schwachstelle
Nov 29, 2022
10 min read
Was ist eine gespeicherte CSRF-Schwachstelle?
Javascript-Injektion-Angriff
Nov 28, 2022
8 min read
Was ist ein Javascript-Injektion-Angriff und wie wird er durchgeführt?
Vertrauenswürdige Zertifikate
Nov 25, 2022
8 min read
Vertrauenswürdige Zertifikate und wie werden sie konfiguriert
Alle anzeigen