TLS-Zertifikate: Countdown auf 47 Tage hat begonnen

Das CA/Browser Forum hat eine weitreichende Entscheidung getroffen: Die maximale Laufzeit von TLS-Zertifikaten wird schrittweise von 398 auf nur noch 47 Tage reduziert. Für Unternehmen bedeutet das: Wer nicht automatisiert, riskiert Ausfälle.

Nach intensiven Diskussionen hat das CA/Browser Forum am 11. April 2025 endgültig über die Verkürzung der Zertifikatslaufzeiten abgestimmt. Der Beschluss, der auf einen Vorschlag von Apple zurückgeht, definiert einen verbindlichen Fahrplan bis 2029. Für IT-Verantwortliche und Sicherheitsteams in Unternehmen beginnt damit ein Countdown, der grundlegende Änderungen im Zertifikatsmanagement erfordert.

Ein Fahrplan in vier Etappen

Der neue Standard sieht eine stufenweise Reduktion vor. Ab dem 15. März 2026 gilt eine maximale Laufzeit von 200 Tagen, ab März 2027 sind es nur noch 100 Tage, und ab März 2029 schließlich 47 Tage. Parallel dazu verkürzt sich auch die Gültigkeitsdauer bereits validierter Domain-Informationen – am Ende auf lediglich zehn Tage.

Die Zahl 47 erscheint auf den ersten Blick willkürlich, folgt aber einer einfachen Logik: Ein maximaler Monat mit 31 Tagen, plus eine halbe 30-Tage-Periode von 15 Tagen, plus ein Tag Puffer. Dieses Muster zieht sich durch alle Übergangsstufen.

Warum kürzere Laufzeiten?

Die Befürworter argumentieren vor allem mit der schwindenden Vertrauenswürdigkeit von Zertifikatsinformationen über längere Zeiträume. Je älter ein Zertifikat, desto wahrscheinlicher ist es, dass sich die zugrunde liegenden Daten verändert haben – etwa durch Unternehmensübernahmen, Domain-Wechsel oder kompromittierte Schlüssel.

Hinzu kommt ein strukturelles Problem. Das bestehende Widerrufssystem über CRLs und OCSP funktioniert in der Praxis nur eingeschränkt. Viele Browser ignorieren diese Mechanismen schlicht. Kürzere Laufzeiten begrenzen daher das Zeitfenster, in dem potenziell widerrufene Zertifikate noch Schaden anrichten können.

Automatisierung wird zur Pflicht

Die zentrale Botschaft des CA/Browser Forums ist unmissverständlich: Manuelle Zertifikatsverwaltung hat ausgedient. Bereits bei 100-Tage-Zertifikaten ab 2027 werden händische Prozesse kaum noch praktikabel sein. Spätestens wenn die Domain-Validierung nur noch zehn Tage gilt, führt jeder manuelle Ansatz unweigerlich zu Ausfällen und Sicherheitslücken.

Diese Entwicklung kommt nicht überraschend – das Forum sendet seit Jahren entsprechende Signale durch sukzessive Laufzeitverkürzungen. Es gibt jedoch auch eine gute Nachricht für Unternehmen. Wer jetzt in Automatisierung investiert, profitiert nicht nur von höherer Sicherheit, sondern oft auch von agileren Erneuerungszyklen. Unsere Erfahrung zeigt, dass Organisationen nach der Einführung automatisierter Lösungen häufig freiwillig auf noch kürzere Intervalle umstellen.

Was Unternehmen jetzt tun sollten

Der März 2026 mag für den ein oder anderen Entscheider gefühlt noch in weiter Ferne liegen, doch die Umstellung auf automatisiertes Zertifikatsmanagement erfordert Vorlauf – von der Bestandsaufnahme über die Tool-Auswahl bis zur Integration in bestehende Infrastrukturen. Unternehmen sollten drei Dinge priorisieren: Erstens eine vollständige Inventur aller eingesetzten TLS-Zertifikate, zweitens die Evaluierung von Automatisierungslösungen wie ACME-basierten Systemen, und drittens die Definition klarer Prozesse für den Übergang.

Die Umstellung ist indes nicht mit höheren Kosten verbunden. Die Abrechnung erfolgt weiterhin auf Jahresbasis, unabhängig davon, wie oft Zertifikate erneuert werden. Der eigentliche Aufwand liegt in der einmaligen Implementierung der Automatisierung – eine Investition, die sich durch vermiedene Ausfälle und reduzierte manuelle Arbeit schnell amortisiert.

Der Countdown läuft. Unternehmen, die jetzt handeln, haben genügend Zeit für einen geordneten Übergang. Wer abwartet, riskiert ab 2026 erste Probleme – und ab 2029 den digitalen Stillstand.

Ein Gastbeitrag von Robert Frank, Area Vice President Central Europe bei DigiCert

---

Bild/Quelle: https://depositphotos.com/de/home.html