CA/Browser Forum

Logo

Das CA/Browser Forum ist ein Zusammenschluss von Zertifizierungsstellen (englisch certificate authorities) und Webbrowser-Herstellern zur gemeinsamen Richtlinienerstellung für die X.509-Public-Key-Infrastruktur. Ein bedeutendes Erzeugnis sind die Baseline Requirements: die Mindestanforderungen an Zertifizierungsstellen.

Organisation

Das CA/Browser Forum ist formal nicht als Organisation registriert, sondern ist ein Zusammenschluss ohne bestimmte Rechtsform. Dennoch haben sich die Teilnehmer auf eine Satzung geeinigt, in denen Mitgliedschaft und Stimmrecht geregelt sind. Das Forum verfügt über keine Geldmittel. Notwendige Ausgaben, zum Beispiel für den Betrieb der Website oder Mailinglisten werden von den Teilnehmern direkt getragen.[1]

Zu den Mitgliedern gehören über 50 Zertifizierungsstellen, darunter Industriegrößen wie Amazon, DigiCert, GlobalSign, GoDaddy, Let’s Encrypt oder Network Solutions, sowie überwiegend national tätige Zertifizierungsstellen wie CNNIC, D-TRUST, Swisscom oder TÜRKTRUST.[2]

Die folgenden Mitglieder haben den Status eines Browser-Herstellers inne:[2]

Baseline Requirements

Die Baseline Requirements definieren die Mindestanforderungen, die von allen Zertifizierungsstellen erfüllt sein müssen, damit die von ihnen ausgestellten X.509-Zertifikate von Webbrowsern als vertrauenswürdig akzeptiert werden.

Um eine neue Version der Mindestanforderungen zu verabschieden, ist eine Zweidrittelmehrheit der Zertifizierungsstellen und eine absolute Mehrheit der Browser-Hersteller erforderlich.[1]

Die Mindestanforderungen regeln, welche Validierungsmethoden verwendet werden dürfen, um zu überprüfen, ob ein Antragsteller Kontrolle über eine Domain hat. Auch die strengeren Vorgaben für Extended-Validation-Zertifikate (EV) werden in den Mindestanforderungen geregelt.[3]

Die seit 2017 für Zertifizierungsstellen verpflichtende Unterstützung von DNS Certification Authority Authorization ist in den Mindestanforderungen festgeschrieben.[4]

Gültigkeitsdauer

Im Laufe der Zeit wurde in den Mindestanforderungen die maximale Gültigkeitsdauer eines Zertifikats immer weiter gesenkt. Im September 2020 wurde auf Initiative von Apple die Laufzeit von zwei Jahren auf 398 Tage (13 Monate) abgesenkt.[5] Im April 2025 wurde eine schrittweise Absenkung auf 200 Tage ab März 2026, 100 Tage ab März 2027 und schließlich 47 Tage ab März 2029 beschlossen.[6]

Maximale Gültigkeitsdauer
Ab Ausstellungsdatum Gültigkeitsdauer
01.09.2020 398 Tage
15.03.2026 200 Tage
15.03.2027 100 Tage
15.03.2029 47 Tage

Einzelnachweise

  1. a b Bylaws of the CA/Browser Forum. Version 2.2 vom 21. Mai 2019.
  2. a b CA/Browser Forum: Members. Abgerufen am 22. Januar 2020.
  3. CA/Browser Forum: Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates. Version 1.6.7 vom 19. Dezember 2019.
  4. CA/Browser Forum: Ballot 187 – Make CAA Checking Mandatory. Abgerufen am 22. Januar 2020.
  5. Oliver Diedrich: Chrome, Firefox, Safari: Verkürzte Laufzeit für SSL/TLS-Zertifikate. In: Heise Online. 18. August 2020, abgerufen am 18. April 2025.
  6. Christopher Kunz: Beschlossen: Lebensdauer für TLS-Serverzertifikate sinkt auf 47 Tage. In: Heise Online. 16. April 2025, abgerufen am 18. April 2025.
Dieser Artikel wurde von Wikipedia herausgegeben. Der Text ist verfügbar unter Creative Commons Attribution-Share Alike 4.0, sofern nicht anders angegeben. Möglicherweise können weitere Bestimmungen für Mediendateien gelten.