Wir haben bereits im letzten Jahr darüber gesprochen: Die Regeln, die die Lebenszyklen von SSL-Zertifikaten regeln, ändern sich. Im April 2025 hat das CA/Browser Forum einstimmig das Ballot SC-081v3 verabschiedet, eine Maßnahme, die die maximale Zertifikatslaufzeit von derzeit 398 Tagen auf nur noch 47 Tage bis März 2029 reduziert. Für Unternehmen, die digitale Infrastruktur verwalten, stellt dies eine der bedeutendsten Veränderungen im Zertifikatsmanagement seit über einem Jahrzehnt dar. Die Änderungen werden schrittweise eingeführt, wobei der erste Stichtag am 15. März 2026 liegt. Während die Sicherheitsvorteile erheblich sind, sind die operativen Auswirkungen ebenso groß. Organisationen, die sich auf manuelles Zertifikatsmanagement verlassen, müssen ihren Ansatz überdenken. Unternehmen, die bereits automatisierte Prozesse nutzen, sollten sicherstellen, dass ihre Systeme auf die erhöhte Erneuerungsfrequenz vorbereitet sind. In diesem Leitfaden erklären wir, was sich ändert, warum das wichtig ist und wie Ihr Unternehmen sich ohne Unterbrechungen darauf vorbereiten kann.

Was sich bei den SSL-Zertifikatslaufzeiten ändert

Das CA/Browser Forum Ballot SC-081v3 führt eine schrittweise Reduzierung sowohl der Zertifikatsgültigkeitsdauer als auch der Domain Control Validation (DCV)-Wiederverwendungszeiträume ein. Hier ist der Zeitplan:

Zertifikatsgültigkeitszeiträume:

• Jetzt bis 14. März 2026: Maximale 398 Tage
• März 2026: Reduziert auf maximal 200 Tage
• März 2027: Reduziert auf maximal 100 Tage
• März 2029: Reduziert auf maximal 47 Tage

*Bitte beachten Sie:DigiCert wird die Gültigkeitsdauer ab dem 24. Februar auf 199 Tage verkürzen, während Sectigo dies am 12. März tun wird.

Domain Control Validation (DCV)-Zeiträume:

Parallel zur Verkürzung der Zertifikatslaufzeiten wird auch der Zeitraum verkürzt, in dem die Domain-Validierung wiederverwendet werden kann:

• Jetzt bis 14. März 2026: 398 Tage
• März 2026: 200 Tage
• März 2027: 100 Tage
• März 2029: 10 Tage

*Bitte beachten Sie:DigiCert wird dies ab dem 24. Februar auf 199 Tage verkürzen, während Sectigo dies am 12. März tun wird. Diese zweite Änderung hat erhebliche operative Bedeutung. Bis 2029 müssen Organisationen die Domain-Inhaberschaft etwa alle zehn Tage erneut überprüfen, nicht nur bei der Zertifikatserneuerung. Wenn Ihr Unternehmen große Zertifikatsportfolios verwaltet, entsteht dadurch eine zusätzliche Validierungsaktivität, die in die Planung einbezogen werden muss.

Subject Identity Information (SII) für OV- und EV-Zertifikate:

Es gibt eine zusätzliche Änderung für Organisation Validated (OV) und Extended Validation (EV) Zertifikate. Ab dem 15. März 2026 sinkt der Wiederverwendungszeitraum für Subject Identity Information, einschließlich Unternehmensname und anderer Organisationsdetails, von 825 Tagen auf 398 Tage. Das bedeutet häufigere Re-Validierungen von Unternehmensinformationen, was für Organisationen, die höher vertrauenswürdige Zertifikate verwenden, zusätzlichen administrativen Aufwand mit sich bringt.

Warum diese Änderungen erfolgen

Das CA/Browser Forum hat diese Entscheidung nicht ohne Grundlage getroffen. Die Motion, über die abgestimmt wurde, enthielt alle sicherheits- und betrieblichen Begründungen, die sich über Jahre aufgebaut haben.

Reduzierung des Expositionsfensters

Wenn ein privater Schlüssel kompromittiert wird, hängt der mögliche Schaden direkt davon ab, wie lange das Zertifikat gültig bleibt. Ein Zertifikat mit 398 Tagen Laufzeit gibt Angreifern bis zu 13 Monate Zeit zur Ausnutzung einer Sicherheitsverletzung. Mit 47-Tage-Zertifikaten wird dieses Fenster drastisch verkleinert. Sie erklärten, dass kürzere Laufzeiten „den Zeitraum verringern, in dem ungenaue Informationen in einem gültigen Zertifikat verbleiben würden, unabhängig von weiteren Maßnahmen eines beteiligten Stakeholders“. Das bedeutet, dass im Falle eines Vorfalls der Schaden begrenzt wird, selbst wenn keine zusätzlichen Maßnahmen ergriffen werden.

Einschränkungen der Zertifikatswiderrufssysteme

Theoretisch können kompromittierte Zertifikate vor Ablauf widerrufen werden. In der Praxis haben Widerrufssysteme erhebliche Einschränkungen. Die Argumentation war eindeutig und besagte, dass Zertifikatsstatusdienste wie CRLs und OCSP „Technologien sind, die vertrauende Parteien im aktuellen Maßstab des Internets nicht ausreichend schützen“. Viele Browser haben die Echtzeit-Prüfung des Widerrufsstatus reduziert, da sie Verbindungen verlangsamt und nicht immer zuverlässig funktioniert. Kürzere Zertifikatslaufzeiten umgehen dieses Problem vollständig, indem Zertifikate ablaufen, bevor ein Widerruf in den meisten Fällen erforderlich wird.

Verbesserung der kryptografischen Agilität

Die Sicherheitslandschaft ist ein ständig bewegliches Wettrennen. Die heute als sicher geltenden kryptografischen Algorithmen könnten morgen gebrochen werden. Der Austausch älterer Algorithmen durch neue ist ein komplexer Prozess. Kürzere Zertifikatslaufzeiten erleichtern jedoch die schnellere Einführung neuer kryptografischer Standards im gesamten Web-Ökosystem, anstatt lange laufende Zertifikate auf ihren natürlichen Ablauf warten zu lassen. Dies ist besonders relevant im Hinblick auf Post-Quanten-Kryptografie. Quantencomputer stellen eine theoretische Bedrohung für aktuelle Verschlüsselungsmethoden dar, und Organisationen mit ausgereifter Zertifikatsautomatisierung werden besser vorbereitet sein, um auf quantensichere Algorithmen umzusteigen.

Förderung besserer Praktiken

Es gibt auch einen praktischen Aspekt: Kürzere Laufzeiten zwingen Organisationen zur Implementierung geeigneter Zertifikatsmanagementsysteme. Das CA/Browser Forum erkennt an, dass häufigere Erneuerungen die Einführung von Automatisierung fördern werden, was typischerweise zu einer besseren Sicherheitslage führt.

Wie sich dies von früheren Laufzeitverkürzungen unterscheidet

Dies ist nicht das erste Mal, dass Zertifikatslaufzeiten verkürzt werden. SSL-Zertifikate hatten ursprünglich eine maximale Laufzeit von acht Jahren. Im Laufe der Zeit wurde diese auf fünf Jahre, dann drei Jahre und dann zwei Jahre reduziert. Im Jahr 2020 kündigte Apple an, dass Safari Zertifikate mit einer Laufzeit von mehr als 398 Tagen nicht mehr vertrauen würde, und andere Browser folgten schnell. Die Umstellung auf 47-Tage-Zertifikate unterscheidet sich jedoch in ihrem Umfang. Frühere Reduzierungen halbierten die Laufzeiten ungefähr. Diese Änderung reduziert sie letztlich um mehr als 88 % im Vergleich zum aktuellen Standard. Der Übergang von jährlichen Erneuerungen zu nahezu monatlichen Erneuerungen stellt einen fundamentalen Wandel dar, nicht nur eine inkrementelle Anpassung.

Operative und sicherheitsbezogene Auswirkungen

Die Auswirkungen hängen davon ab, wie Ihre Infrastruktur und Ihre aktuellen Managementpraktiken aussehen.

Erhöhte Erneuerungsfrequenz

Heute werden Zertifikatserneuerungen wahrscheinlich etwas sein, das Ihr Team nur gelegentlich bearbeitet. Sie stehen neben anderen jährlichen oder halbjährlichen IT-Wartungsaufgaben und werden gebündelt bearbeitet, wenn der Zeitpunkt dafür gekommen ist. Das 47-Tage-Modell verändert diese Dynamik vollständig.

Anstatt in Begriffen von Erneuerungsereignissen pro Jahr zu denken, ist es hilfreicher, über den Rhythmus nachzudenken. Derzeit erneuern Sie ein Zertifikat und vergessen es dann weitgehend für 12 Monate. Bis 2029 wird dasselbe Zertifikat ungefähr alle 30 Tage Aufmerksamkeit erfordern, um dem Ablauf voraus zu sein. Das Zertifikatsmanagement hört auf, eine geplante Aufgabe zu sein, und wird zu einem Hintergrundprozess, der niemals wirklich pausiert.

Für kleinere Unternehmen mit einer Handvoll Zertifikaten mag dies überschaubar erscheinen. Für Organisationen mit Dutzenden oder Hunderten von Zertifikaten ist die Veränderung jedoch größer. Es ist nicht nur mehr Arbeit; es ist eine andere Art von Arbeit. Die Frage muss sich ändern von „wer kümmert sich um Erneuerungen, wenn sie anstehen“ hin zu „welches System stellt sicher, dass Erneuerungen kontinuierlich erfolgen, ohne dass jemand daran denken muss“.

Erhöhtes Risiko von Ausfällen

Sie bemerken möglicherweise nicht, wenn Ihr Zertifikat abläuft, aber Ihre Nutzer werden es sofort tun.
Es werden Warnbildschirme auf Ihrer Website erscheinen, die Besucher davon abhalten, weiterzugehen. Ihre APIs werden nicht mehr funktionieren, Zahlungsintegrationen werden ausfallen, und interne Dienste werden unterbrochen. Die reputativen und finanziellen Kosten eines Ausfalls können erheblich sein, und mit kürzeren Zertifikatslaufzeiten steigen die Chancen dafür.

Als Erneuerungen jährlich stattfanden, konnte eine verpasste Frist möglicherweise wochenlang unbemerkt bleiben, bevor sie kritisch wurde. Mit 47-Tage-Zertifikaten verschwindet diese Schonfrist. Sie benötigen Systeme, die nicht nur Ablaufdaten verfolgen, sondern auch automatisch und zuverlässig darauf reagieren.

Komplexität der Domainvalidierung

Die Reduzierung der DCV-Wiederverwendungszeiträume fügt eine weitere Ebene operativer Komplexität hinzu. Bis 2029 muss die Domain-Inhaberschaft alle zehn Tage erneut verifiziert werden. Wenn Ihre DNS-Konfiguration unkompliziert ist, kann dies mit geeigneter Automatisierung handhabbar sein. Wenn Sie jedoch komplexe Infrastruktur betreiben, mit verteilten Teams arbeiten oder auf Hosting-Vereinbarungen mit Drittanbietern angewiesen sind, erzeugt häufige Revalidierung zusätzliche Koordinationsherausforderungen.

Dies ist insbesondere relevant, wenn Ihr Unternehmen durch Übernahmen gewachsen ist oder in mehreren Regionen tätig ist, wobei unterschiedliche technische Teams verschiedene Teile Ihres Domain-Portfolios verwalten.

Auswirkungen auf verschiedene Zertifikatstypen

Alle öffentlichen SSL/TLS-Zertifikate sind betroffen, unabhängig vom Validierungsniveau, ob Domain Validated (DV), Organisation Validated (OV) oder Extended Validation (EV). Wenn Sie jedoch OV- oder EV-Zertifikate verwenden, werden Sie zusätzlichen Aufwand aufgrund der Änderungen bei den Subject Identity Information (SII) haben. Der reduzierte SII-Wiederverwendungszeitraum bedeutet eine häufigere Überprüfung Ihrer Unternehmensnachweise (siehe oben), was typischerweise manuelle Schritte umfasst, die nicht vollständig automatisiert werden können.

Eine wichtige Unterscheidung: Private PKI-Zertifikate, die innerhalb Ihres Unternehmensnetzwerks verwendet werden, unterliegen nicht den Regeln des CA/Browser Forums. Sie können weiterhin längerfristige Zertifikate für interne Dienste ausstellen, wenn Sie dies wünschen, obwohl Sie möglicherweise interne Praktiken an öffentliche Zertifikatsstandards angleichen möchten, um Konsistenz zu gewährleisten.

Praktische Vorbereitung für Ihr Unternehmen

Der Stichtag im März 2026 rückt näher, aber es bleibt Zeit zur Vorbereitung.

Durchführung einer Zertifikatsinventur

Bevor Sie Ihre Zertifikate effektiv verwalten können, müssen Sie wissen, was Sie momentan haben. Das bedeutet, jedes Zertifikat in Ihrer gesamten Infrastruktur zu identifizieren: Produktions-Websites, Staging-Umgebungen, APIs, Mailserver, interne Tools und alle Drittanbieterdienste, die auf Zertifikate angewiesen sind, die Sie kontrollieren.

Das ist schwieriger, als es klingt. Zertifikate sammeln sich oft im Laufe der Zeit an, werden von verschiedenen Teammitgliedern ausgestellt, über unterschiedliche Anbieter verwaltet und auf Systemen installiert, die möglicherweise den Besitzer gewechselt haben. Shadow IT und veraltete Infrastruktur können Zertifikate verbergen, an die sich niemand aktiv erinnert, die jedoch dennoch Probleme verursachen werden, wenn sie ablaufen.

Eine gründliche Prüfung sollte nicht nur die Zertifikate selbst erfassen, sondern auch, wo sie installiert sind, wer für sie verantwortlich ist, wann sie ablaufen und welche Validierungsstufe sie verwenden.

Bewertung Ihres aktuellen Managementansatzes

Seien Sie ehrlich, wie Ihr Unternehmen heute Zertifikatserneuerungen handhabt. Wenn Sie Ablaufdaten in Tabellen verfolgen, Kalendererinnerungen nutzen oder sich auf Einzelpersonen verlassen, wird dieser Ansatz den neuen Anforderungen nicht standhalten. Fragen Sie sich: Wenn die derzeit verantwortliche Person morgen das Unternehmen verlassen würde, würden die Erneuerungen weiterhin stattfinden? Wenn die Antwort unsicher ist, muss Ihr Prozess systematischer werden.

Priorisierung der Automatisierung

Wenn Sie bis hier gelesen haben und denken, dass das CA/Browser Forum versucht, automatisiertes Zertifikatsmanagement für alle durchzusetzen, dann haben Sie den richtigen Eindruck. Die Unannehmlichkeit ist bewusst, da der Branchenkonsens lautet, dass Automatisierung für die Sicherheit des Internets nicht mehr optional ist. Automatisiertes Zertifikats-Lifecycle-Management übernimmt den gesamten Prozess von Ausstellung über Erneuerung bis Installation und eliminiert manuelle Eingriffe in Routineprozesse. Wenn Sie noch keine Automatisierung nutzen, bietet der gestaffelte Zeitplan Raum zur Implementierung. Die 200-Tage-Zertifikate 2026 sind mit guten manuellen Prozessen noch handhabbar; die 47-Tage-Zertifikate 2029 sind es nicht.

Überprüfung von Hosting- und DNS-Konfigurationen

Ihre Fähigkeit, Zertifikatserneuerungen zu automatisieren, hängt teilweise von Ihrer Infrastrukturkonfiguration ab. Einige Hosting-Anbieter unterstützen automatisierte Zertifikatsprotokolle wie ACME direkt ab Werk. Andere erfordern manuelle Eingriffe oder haben Einschränkungen hinsichtlich der Art und Weise, wie Zertifikate installiert werden können.

Ebenso beeinflusst Ihre DNS-Konfiguration, wie schnell und einfach Domain-Validierungen durchgeführt werden können. Wenn Ihr DNS von einem Drittanbieter verwaltet wird oder Genehmigungs-Workflows für Änderungen erfordert, kann dies während der Erneuerung Engpässe verursachen. Und jegliche Engpässe werden verstärkt, wenn Sie dies alle 47 Tage tun.

Das Verständnis dieser Abhängigkeiten jetzt gibt Ihnen Zeit, sie zu beheben, bevor die Fristen erreicht werden.

Planung für OV- und EV-Overhead

Wenn Ihr Unternehmen Organisation Validated- oder Extended Validation-Zertifikate verwendet, berücksichtigen Sie den zusätzlichen administrativen Aufwand. Die Überprüfung Ihrer Unternehmensnachweise wird häufiger erfolgen, und ein Teil dieses Prozesses erfordert menschliche Beteiligung.

Überlegen Sie, ob alle derzeit mit OV- oder EV-Validierung verwendeten Zertifikate tatsächlich dieses Maß an Sicherheit benötigen oder ob einige auf DV-Zertifikate mit geringerem administrativem Aufwand migriert werden könnten.

Wie BrandShelter Ihnen helfen kann

Die Umstellung auf kürzere SSL-Zertifikatslaufzeiten muss nicht kompliziert sein. BrandShelter stellt die Werkzeuge und das Fachwissen bereit, um Ihrer Organisation zu helfen, diesen Übergang reibungslos zu bewältigen.

Unsere Plattform bietet einheitliches Zertifikatsmanagement über ein einziges Dashboard und gibt Ihnen Transparenz über Ihr gesamtes Zertifikatsportfolio. In Kombination mit kommenden automatisierten Erneuerungs-Workflows und proaktiver Ablaufüberwachung können Sie sicherstellen, dass Zertifikate rechtzeitig erneuert werden, jedes Mal, ohne sich auf manuelle Nachverfolgung oder Kalendererinnerungen zu verlassen.

Wir unterstützen alle Zertifikatstypen, einschließlich DV, OV und EV, von führenden Zertifizierungsstellen, einschließlich DigiCert, Sectigo, GeoTrust, Thawte, PositiveSSL, InstantSSL und RapidSSL. Unabhängig davon, ob Sie eine Handvoll Zertifikate oder Hunderte über mehrere Domains hinweg verwalten, kann unser Team Ihnen helfen, einen Zertifikatsmanagement-Ansatz aufzubauen, der mit den neuen Anforderungen skaliert.

Ihre Domains sind geschäftskritische Assets. Ihre SSL-Zertifikate verdienen dasselbe Maß an fachkundiger Betreuung.

Sind Sie bereit, Ihre Anforderungen an das Zertifikatsmanagement zu besprechen? Nehmen Sie über unsere Kontaktseite Kontakt mit unserem Team auf.

Häufig gestellte Fragen

Ist das verpflichtend?

Für öffentlich vertrauenswürdige Zertifikate: ja. Das CA/Browser Forum legt die Basisanforderungen fest, die alle öffentlichen Zertifizierungsstellen einhalten müssen. Wenn eine CA Zertifikate ausstellt, die nicht konform sind, werden Browser ihnen nicht mehr vertrauen, was effektiv bedeutet, dass diese Zertifikate nicht funktionieren werden. Private PKI-Zertifikate, die ausschließlich innerhalb Ihres internen Netzwerks verwendet werden, unterliegen nicht diesen Regeln; Sie können weiterhin längerfristige Zertifikate für die interne Nutzung ausstellen, wenn Sie dies bevorzugen.

Wird sich der Preis für SSL-Zertifikate ändern?

Im Allgemeinen nein. Es wird nicht erwartet, dass die Kosten einzelner Zertifikate als direkte Folge kürzerer Laufzeiten steigen. Viele Anbieter bieten mehrjährige Abonnementpläne an, bei denen Sie einmal zahlen und Zertifikate während der Laufzeit des Plans bei Bedarf erneut ausstellen. Die erneute Ausstellung selbst ist in der Regel kostenlos. Wenn Sie Zertifikate derzeit manuell verwalten, können jedoch höhere Kosten in Bezug auf Personalzeit und betrieblichen Aufwand entstehen.

Gilt das für alle Zertifikatstypen?

Alle öffentlichen SSL/TLS-Zertifikate sind betroffen, einschließlich Domain Validated (DV), Organisation Validated (OV) und Extended Validation (EV)-Zertifikate. Die Änderungen gelten unabhängig davon, ob Sie eine einzelne Domain, mehrere Domains oder Wildcard-Zertifikate absichern. Code-Signing-Zertifikate und S/MIME-E-Mail-Zertifikate unterliegen anderen Regeln und sind von diesem spezifischen Beschluss nicht betroffen.

Was passiert, wenn ich mich nicht vorbereite?

Das unmittelbarste Risiko sind Dienstunterbrechungen. Wenn ein Zertifikat abläuft, zeigen Browser Warnmeldungen an, die Besucher daran hindern, auf Ihre Website zuzugreifen. APIs lehnen Verbindungen ab. Zahlungssysteme funktionieren nicht mehr. Neben der operativen Störung besteht auch ein Reputationsschaden; Kunden, die Sicherheitswarnungen sehen, könnten das Vertrauen in Ihre Marke verlieren. Mit zunehmender Erneuerungsfrequenz steigt die Wahrscheinlichkeit, eine Frist zu verpassen, wenn Sie auf manuelle Prozesse angewiesen sind.

Kann ich weiterhin manuelle Prozesse verwenden?

Technisch ja, aber es wird zunehmend unpraktikabel. Die 200-Tage-Zertifikate im Jahr 2026 sind mit disziplinierten manuellen Prozessen handhabbar. Die 100-Tage-Zertifikate im Jahr 2027 werden die meisten manuellen Arbeitsabläufe stark belasten. Bis 2029, wenn Zertifikate nur noch 47 Tage gültig sind und die Domain-Validierung alle 10 Tage wiederholt werden muss, wird manuelle Verwaltung zu einem Rezept für Ausfälle. Die Einschätzung von DigiCert ist eindeutig: Manuelle Revalidierung wäre zu diesem Zeitpunkt „ein Rezept für ein Scheitern“.

Artikel teilen