IT-Security

Gültigkeitsdauer von Zertifikaten: Was Sie bis 2029 beachten müssen

2. September 2025 von Marek Röhner
Gültigkeitsdauer von Zertifikaten
©Canva

5
(1)

Die Gültigkeitsdauer von Zertifikaten in der Web-PKI wird in den kommenden Jahren massiv reduziert. Was früher einmal Jahre betrug, wird bald nur noch wenige Wochen gültig sein. Für Unternehmen bedeutet das: deutlich kürzere Erneuerungszyklen, neue Risiken und ein starker Druck zur Automatisierung.

Diese Entwicklung ist kein vorübergehender Trend, sondern Ausdruck eines Paradigmenwechsels: Die Web-PKI wird dynamischer, agiler, aber auch anfälliger für Fehler, wenn Prozesse nicht rechtzeitig angepasst werden. Wer künftig weiterhin eine zuverlässige TLS-Verschlüsselung ohne Ausfälle sicherstellen will, muss seine Zertifikatsstrategie schon jetzt überdenken und modernisieren.

Was ändert sich konkret? – Die neue Timeline der Zertifikatslaufzeiten

Die bevorstehenden Änderungen der Zertifikatslaufzeiten wurden maßgeblich von Apple initiiert und durch das CA/Browser-Forum (CAB Forum) diskutiert. Mit dem sogenannten Ballot SC-81 liegt ein Zeitplan vor, der gravierende Auswirkungen auf alle TLS-Zertifikatsinhaber hat:

Die wichtigsten Fristen im Überblick:

 15. März 2026
o Max. Gültigkeitsdauer: 200 Tage
o Daten-Wiederverwendung: 200 Tage

• 15. März 2027
o Max. Gültigkeitsdauer: 100 Tage
o Daten-Wiederverwendung: 100 Tage

• 15. März 2029
o Max. Gültigkeitsdauer: 47 Tage
o Daten-Wiederverwendung: 10 Tage

Zusätzlich wird auch die maximale Gültigkeitsdauer für Unternehmensinformationen (OV/EV) von derzeit 825 Tagen auf 398 Tage verkürzt.

Warum kommt es zu dieser drastischen Verkürzung?

Die Antwort ist so klar wie unbequem: Sicherheit und Geschwindigkeit.

Kompromittierte Zertifikate sollen nicht mehr monatelang aktiv bleiben können.
Revocation-Mechanismen gelten nach wie vor als unzuverlässig, deshalb will man durch kurze Laufzeiten das Risiko eindämmen.
Technologische Innovation schreitet schneller voran: Kürzere Zyklen ermöglichen flexiblere Anpassung an neue Standards und Bedrohungen.
Automatisierung wird Standard, manuelle Prozesse sind den verkürzten Laufzeiten schlicht nicht mehr gewachsen.
Standards wie ACME (Automated Certificate Management Environment) und ARI (Automatic Renewal Information) bieten heute schon die nötigen Schnittstellen, um diese Anforderungen zu erfüllen.

Was bedeutet das operativ für Ihr Unternehmen?

Je kürzer die Gültigkeitsdauer von Zertifikaten, desto intensiver wird der operative Aufwand, zumindest ohne entsprechende Automatisierung. Diese Punkte sollten Sie unbedingt berücksichtigen:

Häufigere Erneuerungen
Zertifikate müssen künftig in viel kürzeren Abständen erneuert werden. Ein manueller Prozess ist spätestens ab 2027 unrealistisch.

Weniger Zeitpuffer
Die Zeit zwischen Ausstellung und Ablauf, also Ihre „Lead-Time“ – wird minimal. Ausfälle drohen bei jeder Verzögerung im Erneuerungsprozess.

API-gestützte Prozesse
Automatisierte Ausstellung, Validierung und Deployment sind keine Option mehr, sie sind Pflicht.

Stammdaten-Governance
Unternehmensdaten (bei OV/EV-Zertifikaten) müssen alle 398 Tage revalidiert werden, inklusive Domainkontrolle und ggf. Handelsregisterprüfungen.

Konkrete To-dos – So stellen Sie Ihr Zertifikatsmanagement jetzt um

1. Bestandsaufnahme: Zertifikate und Zuständigkeiten erfassen
Der erste Schritt ist eine vollständige Inventarisierung aller eingesetzten TLS-Zertifikate, sowohl öffentlicher als auch privater. Dabei sollten nicht nur alle Zertifikate, sondern auch die zugehörigen Deploy-Pfade (z. B. Webserver, Load-Balancer, Proxies) und die verantwortlichen Personen oder Teams erfasst werden. Nur mit einem vollständigen Überblick über den Zertifikatsbestand und klare Verantwortlichkeiten lassen sich spätere Prozesse effizient automatisieren.

2. Automatisierung einführen und ACME-Standards nutzen
Im zweiten Schritt sollten Unternehmen die Zertifikatsverwaltung konsequent automatisieren. Dafür bietet sich insbesondere das ACME-Protokoll an, das von vielen Zertifizierungsstellen unterstützt wird. ACME-fähige Clients sollten auf den relevanten Systemen ausgerollt und so konfiguriert werden, dass Zertifikate automatisch ab einem Drittel der verbleibenden Laufzeit erneuert werden. Ergänzend kann ACME ARI eingebunden werden, um automatisierte Hinweise zur bevorstehenden Erneuerung („Renewal Hints“) zu erhalten und entsprechend zu reagieren.

3. Validierungsprozesse an die neuen Laufzeiten anpassen
Mit den neuen Fristen für Daten-Wiederverwendungen und Stammdaten müssen auch die internen Validierungsprozesse überarbeitet werden. Für Domain- und Organisations-Validierungen empfiehlt sich die Einrichtung eines automatisierten Revalidierungszyklus, je nach Stichtag in einem 200-, 100- oder sogar 10-Tage-Rhythmus. Gleichzeitig ist sicherzustellen, dass OV- und EV-Stammdaten spätestens alle 398 Tage aktualisiert und überprüft werden. Diese Zyklen sollten dokumentiert und in bestehende IT- oder Compliance-Prozesse integriert werden.

4. Deployments zuverlässig und ausfallsicher gestalten
Die Erneuerung eines Zertifikats allein reicht nicht, es muss auch sicher, automatisiert und ohne Downtime in die Infrastruktur eingespielt werden. Daher sollten Unternehmen ihre Deployment-Pipeline überprüfen und ggf. anpassen. Best Practices umfassen „staged renewals“ (z. B. Erneuerung in Dev-, Staging- und dann Produktivumgebungen), Zero-Downtime-Rollouts sowie automatisierte Reloads von Zertifikaten in Webservern, Proxies und Ingress-Controllern. Ziel ist ein stabiler, unterbrechungsfreier Betrieb trotz häufigerer Zertifikatswechsel.

5. Monitoring und Warnsysteme etablieren
Ein zuverlässiges Monitoring ist entscheidend, um Zertifikatsausfälle zu vermeiden. Dafür sollten Ablaufwarnungen eingerichtet werden, idealerweise bei 30, 14, 7 und 3 Tagen vor Ablauf eines Zertifikats. Zusätzlich können Service Level Objectives (SLOs) definiert werden, die z. B. eine rechtzeitige Erneuerung sicherstellen. Auch synthetische TLS-Checks, also simulierte Tests der Erreichbarkeit über HTTPS, sind sinnvoll, um die Funktionsfähigkeit der Zertifikate regelmäßig zu überprüfen und Probleme frühzeitig zu erkennen.

Kürzere Laufzeiten? Mit der richtigen Vorbereitung kein Problem!

Die sinkende Gültigkeitsdauer von Zertifikaten ist kein vorübergehendes Phänomen, sie ist der neue Standard. Unternehmen, die ihre Zertifikatsstrategie jetzt anpassen, profitieren doppelt: Sie erhöhen ihre IT-Sicherheit und schaffen gleichzeitig eine skalierbare Infrastruktur, die zukünftigen Anforderungen gewachsen ist.
Wer inventarisiert, automatisiert und Governance fest verankert, wird auch bei 47-Tage-Zertifikaten keine Ausfälle erleben.

Wir unterstützen Sie bei der Einführung von ACME, bei der Zertifikatsverwaltung sowie bei der Automatisierung mit Lösungen wie KeyTalk oder einer Managed PKI.

 

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu