Ich kipp das hier mal ein.

Das wird noch lustig werden für Programme wie Starmoney u.A. in den nächsten Jahren.
Da können die monatlich alle Bankzertifikate nachpflegen.
Und wenn das Programm warum auch immer 2 Monate offline war funktioniert die Selbst-Updatefunktion vermutlich nicht mehr und man muss manuell ein Update vom Server ziehen

https://www.digicert.com/de/bl…to-47-days

Mir erschien es eh immer schon sinnvoller, sich hier auf die Zertifikatsverwaltung eines aktuellen Betriebssystems zu verlassen, anstatt etwas eigenes einzubauen und zu pflegen. Die rechtzeitige Kommunikation zwischen Banken und Programmentwickler ging ja auch schon häufiger schief. Ich hab es nicht durchgelesen, aber werden die root-Zertifikate auch schneller gewechselt?

Von den Root CAs hab ich nichts gelesen.
Der Grund für die Verkürzung liegt wohl darin dass man davon ausgeht das der "normale" Serveradmin seine Zertifikate nicht im Griff hat und diese anhanden kommen. Andersrum funktionieren die ganzen Revokeoptionen nicht wirklich sauber und bei 47 Tagen sind die dann quasi obsolet.
Bei den CA Anbieter kommen naaatüüüüürlich niemals nie! irgendwelche (Root) Zerifikate weg

Beim Zertifikatsstore im OS besteht halt das Problem das sich der normale User relativ leicht irgendein boshaftes Root CA einfangen kann.

nicht alle haben das, wie man hier im Forum ja immer wieder liest

eben genau deshalb finde ich das besser. Ich finde als Basis ein sicheres - oder sagen wir mal Betriebssystem auf aktuellem Stand eben auch sehr viel wichtiger als die Zertifikatsverwaltung von Banken in einer ZV-Software.