June 29, 2020, 8:29 p.m. -  Jörg

Da CRLs und OCSP praktisch nicht funktionieren bzw. von den Browsern nicht verwendet werden fehlt ein wirksames Mittel zum Widerruf von kompromittierten Zertifikaten (genauer der privaten Schlüssel derselben). Dem Problem zu begegnen, indem man die Laufzeit von Zertifikaten reduziert dient hier der Schadensbegrenzung. Denn ein kompromittiertes Zertifikat wird somit automatisch schneller aus dem Verkehr gezogen. Vor dem Hintergrund, dass meiner Ansicht nach die meisten Internetnutzer nicht in der Lage sind ein Zertifikat in ihrem Browser zu prüfen, ist dieser Schritt nachvollziehbar. Zudem existieren mit CAA und Certificate Transparency Logs mittlerweile Methoden, welche das Risiko minimieren, dass Zertifikate unrechtmäßig ausgestellt werden. Der Schutz wirkt zwar nicht so stark wie der von HPKP, ist jedoch besser als nichts. Darüber hinaus steht es Kommunikationspartnern frei, eigene Zertifikate zur gegenseitigen Authentifizierung zu verwenden, welche eine deutlich längere Laufzeit haben und wo ggf. auch der Fingerprint wieder geprüft werden kann. Doch diese Anwendungen liegen sicher außerhalb des Browsers und seines normalen Useres. MfG Jörg