Es gab eine Zeit, in der die Erneuerung eines SSL-Zertifikats eine jährliche Aufgabe war. Sie erledigten es einmal, legten es unter “Dinge, die warten können” ab und machten mit Ihrem Jahr weiter. Vielleicht erinnerte Sie Ihr Provider daran. Vielleicht haben Sie eine Kalendererinnerung eingestellt. Vielleicht haben Sie es aber auch vergessen und mussten es auf die harte Tour erfahren, als ein Browser eine ganzseitige Sicherheitswarnung an Ihre Kunden schickte.

Diese Zeiten sind nun vorbei. Nicht, weil jemand danach gefragt hat, sondern weil die Zertifizierungsstellen und Browserhersteller, die die Regeln festlegen, beschlossen haben, dass kürzere Laufzeiten sicherer sind. Und damit haben sie Recht. Aber sie werden damit auch viele Betriebsteams sehr müde zu machen.

Ein Zertifikat, das Sie bisher einmal im Jahr erneuert haben, wird bald etwa alle sechs Wochen erneuert werden müssen. Und das ist eine ganze Menge mehr. Dieselbe Aufgabe muss bis 2029 achtmal häufiger erledigt werden, und das bei einem Portfolio, das Hunderte oder Tausende von Domains umfassen kann. Die manuelle Nachverfolgung ist dafür nicht geeignet.

Deshalb stellen wir heute die BrandShelter SSL API mit ACME-Protokollunterstützung vor. Sie ist unsere Antwort auf ein Problem, mit dem sich die gesamte Branche auseinandersetzt: Zertifikatsmanagement ist nicht länger eine Aufgabe, die Sie erledigen. Es ist ein Prozess, den Sie ausführen. Und Prozesse, die kontinuierlich ablaufen, müssen automatisiert werden, sonst gehen sie schnell kaputt.

Die Verwaltung von SSL-Zertifikaten ist im Wandel

Während des letzten Jahrzehnts konnte ein TLS-Zertifikat über ein Jahr lang gültig sein. Das Maximum lag bei 398 Tagen, was in der Praxis eine jährliche Erneuerung bedeutete, ohne dass dazwischen viel nachgedacht wurde. Bequem. Vorhersehbar. Leicht zu ignorieren.

Diese Zahl sinkt nun steil nach unten, und der Zeitplan ist bereits bekannt:

• Im März 2026 sank die maximale Lebensdauer des Zertifikats auf 200 Tage.

• Im März 2027 sinkt sie wieder auf 100 Tage.

• Im März 2029 landet sie bei 47 Tagen.

Siebenundvierzig Tage. Aus einer Aufgabe, die einmal im Jahr anfällt, wird eine Aufgabe, die Sie etwa alle sechs Wochen erledigen müssen. Und es ist nicht nur das Zertifikat selbst, das häufiger erneuert wird. Auch die Validierung der Domainkontrolle, mit der nachgewiesen wird, dass Sie tatsächlich Eigentümer der gesicherten Domain sind, muss häufiger durchgeführt werden. Mehr Erneuerungen, mehr Validierungen, mehr Chancen, dass etwas durch eine Lücke schlüpft.

Der Grund für diese Änderung ist durchaus vernünftig. Zertifikate mit kürzerer Lebensdauer begrenzen den Schaden, den ein kompromittiertes Zertifikat anrichten kann, und sie verringern die Abhängigkeit von Widerrufssystemen, die nie so gut funktioniert haben, wie man es sich erhofft hatte. Die Sicherheit wird verbessert. Der Kompromiss besteht darin, dass die operative Last direkt bei den Personen liegt, die die Zertifikate verwalten. Das wären dann Sie. Und wir.

Der Punkt ist folgender: Ein System, das auf ein jährliches Ereignis ausgelegt ist, kann nicht überleben, wenn dieses Ereignis nun achtmal im Jahr stattfindet. Irgendetwas muss dann weichen. In der Regel ist es ein Zertifikat, das um 2 Uhr morgens für die eine Domain ausgestellt wird, die Sie im Portfolio vergessen haben.

Die versteckten Betriebskosten der manuellen Zertifikatsverwaltung

Wenn Sie das Thema verfolgt haben, werden Sie von den “versteckten Kosten” nicht überrascht sein.

Wenn Zertifikate einmal im Jahr erneuert werden, ist die manuelle Verwaltung zwar lästig, aber verkraftbar. Eine Tabellenkalkulation, ein paar Kalendererinnerungen, eine Person, der die Zertifikate “gehören” und die sich meistens daran erinnert, zu handeln. Das ist fragil, aber es funktioniert. Die meisten Organisationen haben jahrelang genau so gearbeitet und sich keine Gedanken gemacht.

Wenn die Lebensdauer verkürzt wird, wird diese Anfälligkeit zum Problem. Die gleiche Tabelle muss nun ständig aktualisiert werden. Die eine Person, die für die Zertifikate zuständig ist, wird zu einem “Single Point of Failure”, der nicht in Urlaub fahren kann. Verlängerungen, die früher ein ruhiger Nachmittag waren, werden zu einer monatlichen Aufgabe, und jeder verpasst manchmal seine Aufgaben.

Die Kosten summieren sich in einer Weise, die leicht unterschätzt werden kann:

• Die Komplexität der Erneuerung vervielfacht sich. Jedes Zertifikat hat seinen eigenen Zeitplan, seine eigenen Validierungsanforderungen und seine eigenen Eigenheiten. Ein Zertifikat zu verfolgen ist einfach. Die Verfolgung von achthundert Zertifikaten, die alle sechs Wochen erneuert werden, ist ein Vollzeitjob, für den niemand eingestellt wurde.

• Die Sichtbarkeit ist fragmentiert. Zertifikate werden von verschiedenen Teams ausgestellt, von verschiedenen Anbietern, für verschiedene Teile der Infrastruktur. Niemand hat den vollen Überblick, was bedeutet, dass Ihnen niemand mit Sicherheit sagen kann, welches Zertifikat als nächstes abläuft.

• Der betriebliche Aufwand wächst , ohne dass jemand dies beschlossen hat. Die Arbeit wird immer umfangreicher, bis sie echte technische Zeit in Anspruch nimmt, die für sinnvollere Aufgaben verwendet werden sollte.

• Das Ausfallrisiko steigt. Ein abgelaufenes Zertifikat ist kein leichter Fehler. Es ist ein harter, sichtbarer Ausfall für den Kunden, komplett mit einer alarmierenden Browserwarnung, die das Vertrauen in Sekundenschnelle zerstört. Je mehr Erneuerungen Sie manuell durchführen, desto wahrscheinlicher ist es, dass eine davon ausfällt.

• Der Arbeitsaufwand für die Validierung steigt mit allem anderen. Häufigeres DCV bedeutet, dass mehr Datensätze veröffentlicht werden müssen, mehr Prüfungen zu bestehen sind und mehr Möglichkeiten bestehen, dass eine Erneuerung auf halbem Weg stecken bleibt.

Keines dieser Probleme ist für sich allein genommen dramatisch. Sie sind Probleme von der langsamen Sorte. Die Art, die sich anhäuft, bis eine verpasste Erneuerung eine Zahlungsseite während eines Verkaufsprozesses zum Absturz bringt, und plötzlich ist das Zertifikatsmanagement das Wichtigste im Gebäude. Denn der Imageschaden kann katastrophal sein, sowohl für Ihre Marke als auch für Sie, wenn Sie von Technikreportern um einen Kommentar zu einem längeren Ausfall gebeten werden.

Modernes Zertifikatsmanagement erfordert Automatisierung

Wenn das Problem darin besteht, dass die Zertifikatsverwaltung zu einer kontinuierlichen Aufgabe geworden ist, besteht die Lösung darin, sie nicht mehr als eine Reihe einzelner Aufgaben, sondern als Infrastruktur zu betrachten. Eine Infrastruktur, die sich selbst verwaltet.

Dieser Rahmen besteht aus mehreren Teilen.

Der erste ist der API-gesteuerte Arbeitsablauf. Wenn Zertifikatsvorgänge über eine API abgewickelt werden, müssen sie nicht mehr von Menschenhand erledigt werden, sondern werden von Ihren Systemen in Ihrem Namen durchgeführt. Bestellen, erneuern, widerrufen, den Status prüfen: All dies wird zu einem Aufruf, den Ihre Infrastruktur automatisch und termingerecht ausführen kann, ohne dass ein Mitarbeiter daran denken muss, dies zu tun.

Der zweite Punkt ist das kontinuierliche Lebenszyklusmanagement. Anstatt auf sich abzeichnende Ablaufdaten zu reagieren, verfolgt die Automatisierung die gesamte Lebensdauer eines Zertifikats von der Beantragung bis zur Ausmusterung und agiert jedes Mal zum richtigen Zeitpunkt. Keine Mahnungen. Keine Tabellenkalkulation.

Der dritte Punkt ist die betriebliche Ausfallsicherheit, um die es eigentlich geht. Automatisierte Systeme vergessen nicht. Sie gehen nicht in den Urlaub. Sie verlieren nicht den Überblick über die eine obskure Subdomain, die still und leise Traffic liefert, seit wir wissen, was Influencer sind. Eine gut aufgebaute Automatisierungspipeline verwandelt die schrumpfende Lebensdauer von Zertifikaten von einer wachsenden Bedrohung in ein Nicht-Ereignis, was genau das ist, was es sein sollte.

Automatisierung ist hier keine Luxusfunktion für Teams, die Tools um ihrer selbst willen mögen. Bei einer Lebensdauer von 47 Tagen ist dies der einzige Ansatz, der Bestand hat. Die Alternative wäre, Mitarbeiter einzustellen, deren einziger Job die Erneuerung von Zertifikaten ist, und dafür hat niemand das Budget.

Jetzt verfügbar: Die SSL-API von BrandShelter

An dieser Stelle kommt unsere neue SSL-API ins Spiel. Wir haben sie entwickelt, um Ihnen die Zertifikatsverwaltung abzunehmen und sie Ihrer Infrastruktur zu überlassen, wo sie hingehört.

Die API deckt den gesamten Lebenszyklus von Zertifikaten ab. Sie können Zertifikate bestellen, sie validieren, erneuern, neu ausstellen, widerrufen und ihre Metadaten aktualisieren – alles programmatisch. Sie unterstützt Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV) Zertifikate von den Marken, denen Sie bereits vertrauen: DigiCert, Sectigo, GeoTrust, Thawte, PositiveSSL, InstantSSL und RapidSSL. Unabhängig von der Validierungsstufe, die eine bestimmte Domain benötigt, übernimmt die API die Bestellung und den Lebenszyklus für sie.

Einige Funktionen sind besonders erwähnenswert.

Die automatische DNS-Validierung ist für von BrandShelter verwaltete DNS-Zonen integriert. Wenn wir Ihr DNS hosten, werden die Validierungseinträge für Sie veröffentlicht. Sie müssen keine langen Strings in ein Kontrollpanel kopieren und nicht warten, bis Sie feststellen, dass Sie einen falschen Eintrag eingefügt haben. Die Validierung erfolgt einfach.

Das automatisierte Lebenszyklusmanagement deckt die Bereiche ab, die früher die Aufmerksamkeit eines Menschen erforderten. Verlängerungen, Neuausstellungen, Widerrufe und Metadaten-Updates können eigenständig durchgeführt werden, ausgelöst durch Ihre Systeme und nicht durch Ihr Gedächtnis.

Zertifikatsinformationen und -status sind bei Bedarf verfügbar, so dass Sie immer genau wissen, wo jedes Zertifikat steht. Das Sichtbarkeitsproblem von vorhin, bei dem niemand den vollen Überblick hat? Das ist die Lösung für dieses Problem.

Und all das lässt sich in Ihre bestehenden internen Systeme und Arbeitsabläufe integrieren. Die API ist ein Baustein, kein ummauerter Garten. Sie ist so konzipiert, dass sie sich in Ihre bestehenden Arbeitsabläufe einfügt, anstatt Sie zu bitten, sie neu zu gestalten.

Das Ergebnis ist einfach. Die Arbeit, die jetzt noch den Nachmittag einer Person in Anspruch nimmt, die aber bald ihr ganzes Leben in Anspruch nehmen wird, wird von Ihrer Infrastruktur still und leise im Hintergrund erledigt. Ist es nicht schön, wenn Technologie die Lösung und nicht nur das Problem ist?

ACME-Support für bestehende Infrastrukturen

Wenn Sie bereits in die Automatisierung von Zertifikaten investiert haben, haben wir natürlich auch Unterstützung für Sie.

Neben der SSL-API unterstützt BrandShelter jetzt auch das ACME-Protokoll. ACME ist der offene Standard, um den sich das automatisierte Zertifikatsmanagement entwickelt hat, und die darauf aufbauenden Werkzeuge sind überall zu finden. Wenn Sie Certbot, acme.sh, lego, win-acme, Caddy oder Traefik benutzt haben, haben Sie ACME benutzt, auch wenn Sie nie an den Namen gedacht haben.

In der Praxis bedeutet das Folgendes: Sie müssen nichts neu aufbauen.

Wenn Ihre Infrastruktur bereits ACME spricht, kann sie auch mit BrandShelter sprechen. Richten Sie Ihren bestehenden ACME-Client auf unseren Dienst ein und Zertifikate können über die automatisierten Workflows, die Sie bereits entwickelt und getestet haben, angefordert, validiert, ausgestellt, bereitgestellt, erneuert und widerrufen werden. Sie müssen keinen neuen Client erlernen. Keine Pipeline, die zerlegt und neu zusammengesetzt werden muss. Die Automatisierung, der Sie vertrauen, funktioniert weiter – mit BrandShelter im Rücken.

Der ACME-Pfad ist für automatisierungsfreundliche Zertifikate ausgelegt, d. h. Domain Validation-Zertifikate: Single-Domain, Multi-SAN, Wildcard und Wildcard-SAN. Dies sind die Zertifikate, die sich für eine völlig unbürokratische Ausstellung eignen und mit denen die meisten hochvolumigen, schnelllebigen Infrastrukturen laufen.

Für Organization Validation- und Extended Validation-Zertifikate, bei denen ein Mensch und ein Überprüfungsprozess von vornherein Teil des Geschäfts sind, müssen Sie stattdessen die Standard-SSL-API-Workflows verwenden. OV und EV sind hier nicht zweiter Klasse. Sie werden vollständig von der API unterstützt. Sie leben einfach auf dem für sie vorgesehenen Weg und nicht auf dem Weg, der für die vollautomatische, validierungsfreie Ausstellung vorgesehen ist. Die beiden Ansätze sind komplementär: ACME für die hochvolumigen DV-Zertifikate, die unbeobachtet erneuert werden sollten, die API für die Zertifikate mit höherer Sicherheit, die einen Verifizierungsschritt erfordern, den kein Protokoll überspringen kann.

Allerdings geht es bei all dem nicht um das Protokoll. Es geht darum, was das Protokoll Ihnen zurückgibt. Die Stunden, die Sie früher mit der Verfolgung von Erneuerungen und der Überprüfung von Zertifikaten verbracht haben, bleiben in Ihrer Woche. Die Pipelines, die Sie bereits aufgebaut haben und auf die Sie sich verlassen können, laufen weiter, ohne dass Sie umfangreiche und teure Umbauten vornehmen müssen. Und die Arbeit, die mit der Aufrechterhaltung der Gültigkeit von Zertifikaten verbunden ist und die sich um das Achtfache erhöhen sollte, verschwindet still und leise in der Automatisierung, über die Sie nicht nachdenken müssen.

Vorbereitung auf eine Zukunft mit kürzerer Zertifikatslebensdauer

Kehren wir zum Ausgangspunkt zurück. Die jährliche Zertifikatsaufgabe, die Kalendererinnerung, das ruhige Jahr dazwischen.

Diese Welt ist vorbei, und sie wird nicht wiederkommen. Die Lebensdauer sinkt auf 200 Tage, dann 100, dann 47, und kein noch so großer Wunsch bringt sie auf 398 Tage zurück. Die Organisationen, die das gut überstehen, werden nicht diejenigen sein, die die fleißigsten Tabellenkalkulatoren haben. Sie werden diejenigen sein, die das Zertifikatsmanagement nicht mehr als Aufgabe betrachten, sondern als automatisierte Infrastruktur, und zwar lange bevor 47 Tage das Problem erzwingen.

Dafür sind die BrandShelter SSL-API und die ACME-Unterstützung gedacht. Ganz gleich, ob Sie eine umfassende API für den Einbau der Zertifikatsautomatisierung in Ihre eigenen Systeme wünschen oder ob Sie Ihre vorhandenen ACME-Tools einfach auf einen Dienst verweisen möchten, der den Rest übernimmt – der Weg von der manuellen Zertifikatsverwaltung ist jetzt wesentlich kürzer als die Zertifikate selbst.

Der Wechsel zu kürzeren Lebenszyklen wird viele Teams unvorbereitet treffen. Ihr Team muss das nicht sein.

Sprechen Sie mit uns darüber, Ihre Zertifikatsverwaltung auf die BrandShelter SSL-API zu übertragen, und überlassen Sie uns die Erneuerung Ihrer Infrastruktur, während Sie sich wieder der Arbeit widmen, für die Sie eigentlich angestellt wurden. Klicken Sie einfach hier, um zu beginnen

Artikel teilen