Die Gültigkeitsdauer von öffentlich vertrauenswürdigen TLS-Zertifikaten steht vor einer grundlegenden Veränderung. Websitezertifikate haben aktuell eine maximale Laufzeit von 398 Tagen. Diese Dauer wird in den kommenden Jahren schrittweise reduziert, mit einem Endziel von 47 Tagen.
Diese Entwicklung hat weitreichende Auswirkungen auf Sicherheit, Betrieb und insbesondere auf die Automatisierung moderner Web- und IT-Infrastrukturen.
Der neue Lebensdauer-Fahrplan für TLS-Zertifikate
Das Certificate Authority/Browser (CA/B) Forum, ein Zusammenschluss führender Browserhersteller wie Google, Apple, Mozilla und Microsoft sowie großer Zertifizierungsstellen, hat einen verbindlichen Zeitplan zur Verkürzung der Zertifikatslaufzeiten, sowie die Gültigkeit der Domainvalidierung beschlossen.
Geplante maximale Zertifikatslaufzeit und Domainvalidierungsdauer
| Zeitpunkt | Maximale Zertifikatslaufzeit | Maximale Domainvalidierungsdauer |
| Bis 15. März 2026 | 398 Tage | 398 Tage |
| Ab 15. März 2026 | 200 Tage | 200 Tage |
| Ab 15. März 2027 | 100 Tage | 100 Tage |
| Ab 15. März 2029 | 47 Tage | 10 Tage |
Warum 47 Tage?
47 Tage mögen zunächst wie eine willkürliche Zahl erscheinen, folgen jedoch einer einfachen, nachvollziehbaren Abstufung:
- 200 Tage = 6 maximale Monate (184 Tage) + 1/2 eines 30-Tage-Monats (15 Tage) + 1 Tag Puffer
- 100 Tage = 3 maximale Monate (92 Tage) + etwa 1/4 eines 30-Tage-Monats (7 Tage) + 1 Tag Puffer
- 47 Tage = 1 maximaler Monat (31 Tage) + 1/2 eines 30-Tage-Monats (15 Tage) + 1 Tag Puffer
Diese Aufteilung zeigt, dass die neuen Laufzeiten bewusst an Monatszyklen ausgerichtet sind, um konsistente und vorhersehbare Erneuerungsintervalle zu schaffen.
Verkürzung der Wiederverwendbarkeit von Subject Identity Information (SII)
Ab dem 15. März 2026 dürfen Validierungen der sogenannten Subject Identity Information (SII) nur noch 398 Tage wiederverwendet werden – bisher waren es 825 Tage.
SII umfasst den Unternehmensnamen sowie weitere Identitätsinformationen, die in OV- (Organization Validated) und EV-Zertifikaten (Extended Validation) enthalten sind. Dazu gehört alles, außer dem Domainnamen oder der IP-Adresse, die durch das Zertifikat abgesichert werden.
Diese Änderung bedeutet, dass Unternehmen ihre Organisations- und Identitätsdaten künftig deutlich häufiger neu validieren lassen müssen, wenn sie OV- oder EV-Zertifikate einsetzen.
Domain-Validierte (DV) Zertifikate sind von dieser Regelung nicht betroffen, da sie keine Subject Identity Information enthalten.
Sicherheitsgründe für kürzere Zertifikatslaufzeiten
Der Haupttreiber dieser Entwicklung ist die Erhöhung der Sicherheit:
- Kürzere Zertifikatslaufzeiten reduzieren das Zeitfenster, in dem kompromittierte Zertifikate missbraucht werden können.
- Fehlerhafte oder unsichere Konfigurationen werden schneller ersetzt.
- Die Branche wird gezielt in Richtung automatisierter Prozesse gedrängt, da manuelle Erneuerungen bei diesen Zyklen kaum noch praktikabel sind.
Auswirkungen auf Unternehmen und IT-Betrieb
Operative Herausforderungen
Für viele Organisationen bedeutet die Umstellung zunächst einen erheblichen Mehraufwand:
- Zertifikate müssen deutlich häufiger erneuert werden.
- Manuelle Prozesse stoßen schnell an ihre Grenzen und erhöhen das Risiko von Ausfällen durch abgelaufene Zertifikate.
- Bestehende Tools und Workflows sind oft nicht auf kurze Erneuerungsintervalle ausgelegt.
Chancen und langfristige Vorteile
Gleichzeitig bietet die Umstellung auch klare Vorteile:
- Automatisierte Zertifikatsverwaltung wird zum Standard und reduziert menschliche Fehler.
- Unternehmen erhalten bessere Transparenz über alle eingesetzten Zertifikate.
- Die Infrastruktur wird agiler und besser auf zukünftige kryptografische Anforderungen vorbereitet, etwa im Hinblick auf Post-Quantum-Kryptografie.
Was bedeutet das für iWelt Kunden?
Die verkürzten Laufzeiten von TLS-Zertifikaten stellen insbesondere den laufenden Betrieb vor neue Anforderungen. iWelt Kunden haben jedoch mehrere Möglichkeiten, um auch künftig einen sicheren und reibungslosen Zertifikatsbetrieb sicherzustellen.
Einsatz kostenpflichtiger Zertifikate
iWelt Kunden können selbstverständlich kostenpflichtige TLS-Zertifikate wie bisher einsetzen.
Diese Variante bietet sich insbesondere an, wenn OV- oder EV-Zertifikate benötigt werden.
Alternativ: Einsatz von Let’s Encrypt Zertifikaten
iWelt iSite® Kunden haben zusätzlich die Möglichkeit, eigenständig kostenlose TLS-Zertifikate von Let’s Encrypt auszustellen und zu betreiben. Diese Zertifikate sind auf kurze Laufzeiten ausgelegt und werden automatisiert erneuert.
Eine Schritt-für-Schritt-Anleitung zur Einrichtung finden Sie hier: https://faq.iwelt.de/wie-erstelle-ich-ein-lets-encrypt-tls-zertifikat/
Für Kunden ohne iSite® Webhosting Produkt besteht ebenfalls die Möglichkeit, Let’s Encrypt auf dem jeweiligen Systemen einzurichten, falls dies vom System unterstützt wird. Die Umsetzung kann auf Wunsch durch die iWelt im Rahmen von Dienstleistung erfolgen. Sprechen Sie uns an.
Fazit
Die Reduzierung der TLS-Zertifikatslaufzeiten auf 47 Tage markiert einen grundlegenden Paradigmenwechsel. Unternehmen, die frühzeitig auf Automatisierung und klare Prozesse setzen, können diese Veränderung als Chance nutzen. Wer hingegen an manuellen Verfahren festhält, riskiert Sicherheitslücken, Ausfälle und steigenden operativen Aufwand.