Safari: Anforderungen an vertrauenswürdige Zertifikate (für lokale CA)

Apple beschreibt hier: Anforderungen an vertrauenswürdige Zertifikate in iOS 13 und macOS 10.15 - Apple Support (DE)

die Anforderung für vertrauenswürdige Zertifikate in Safari.

Darunter auch die Anforderung, dass ein Zertifikat nicht über 825 Tage lang gültig sein darf.

Für normale Webseite ist die bestimmt eine gute Sache. Chrome geht sogar noch einen Schritt weiter und limitiert die Gültigkeit auf ein Jahr.

Allerdings ist dies doof für lokale CAs. Die möchte man normalerweise nicht erneuern und setzt eine Gültigkeit von 10 Jahren. Für Safari bekommt man dadurch eine Fehlermeldung im Browser.

Chrome und Chromium Browser umgehen das Problem geschickt, indem sie diese Regel nicht für lokale CA anwenden.

Does this apply to locally-operated CAs, such as those used within enterprises that use enterprise-configured configured CAs?

No. This only applies to the set of CAs that are trusted by default by Google Chrome, and not CAs that are operated by an enterprise and that have no certification paths to CAs that are trusted by default.

Quelle: https://source.chromium.org/chromium/chromium/src/+/main:net/docs/certificate_lifetimes.md?q=certificate%20lifetime&ss=chromium&originalUrl=https:%2F%2Fcs.chromium.org%2F

Wäre toll, Safari würde dies in Zukunft auch so handhaben.