Kürzere Laufzeiten für TLS-Zertifikate verändern das Zertifikatsmanagement grundlegend

Die Laufzeiten von TLS-Zertifikaten (umgangssprachlich weiterhin oft SSL-Zertifikate genannt) werden in den kommenden Jahren deutlich verkürzt. Diese Entwicklung ist bereits im CA/Browser Forum beschlossen bzw. final abgestimmt und wird schrittweise umgesetzt.

Was zunächst wie eine technische Detailänderung wirkt, hat in der Praxis weitreichende Folgen – insbesondere für Domain-Reseller, Agenturen, Hosting-Anbieter und Unternehmen mit größeren Domain-Portfolios.

Denn je kürzer die Laufzeiten werden, desto häufiger müssen Zertifikate erneuert, überwacht und verwaltet werden. Damit wird Zertifikatsmanagement von einer gelegentlichen Aufgabe zu einem kontinuierlichen Infrastrukturprozess.

Warum werden TLS-Zertifikatslaufzeiten verkürzt?

Öffentliche TLS-Zertifikate unterliegen den Vorgaben des CA/Browser Forums, einem Zusammenschluss von Browserherstellern (u. a. Apple, Google, Mozilla) und Zertifizierungsstellen.

Die aktuelle Entwicklung sieht eine stufenweise Verkürzung der maximalen Laufzeiten vor:

• ab März 2026: maximal 200 Tage
• ab März 2027: maximal 100 Tage
• ab März 2029: maximal 47 Tage

Diese Maßnahmen wurden beschlossen, um die Sicherheit im Web deutlich zu erhöhen. Der zentrale Gedanke dahinter ist einfach: Je kürzer die Laufzeit eines Zertifikats, desto geringer das Risiko, dass kompromittierte Schlüssel oder veraltete kryptografische Verfahren langfristig missbraucht werden können.

Zudem können Sicherheitsstandards schneller durchgesetzt werden, da Zertifikate häufiger neu ausgestellt werden müssen.

Wichtig: Diese Regelungen betreffen ausschließlich öffentlich vertrauenswürdige TLS-Zertifikate innerhalb der WebPKI. Interne Zertifikate in Unternehmensnetzwerken (private PKI) sind davon nicht direkt betroffen.

Bereits ausgestellte Zertifikate behalten selbstverständlich ihre ursprüngliche Laufzeit.

Was sind TLS-Zertifikate?

TLS steht für „Transport Layer Security“ und ist der technische Standard zur Verschlüsselung von Daten im Internet. Obwohl der Begriff SSL historisch noch weit verbreitet ist, wird heute ausschließlich TLS verwendet.

TLS-Zertifikate sorgen dafür, dass Daten zwischen Browser und Server verschlüsselt übertragen werden. Sie sind die Grundlage für sichere Webseiten, Online-Shops, APIs, Login-Bereiche und viele weitere digitale Dienste.

Darüber hinaus bestätigen sie die Echtheit einer Domain und schützen Nutzer vor gefälschten Websites.

Warum die Laufzeitverkürzung besonders Domain-Reseller und Agenturen betrifft

Während einzelne Website-Betreiber meist nur wenige Zertifikate verwalten, sieht die Realität bei Domain-Resellern, Agenturen und Hosting-Anbietern anders aus. Hier werden häufig hunderte oder tausende Domains und Zertifikate gleichzeitig betreut.

Mit kürzeren Laufzeiten steigt dadurch der administrative Aufwand erheblich, da Zertifikate deutlich häufiger erneuert werden müssen.

Ohne automatisierte Prozesse kann dies schnell zu Problemen führen, etwa wenn Zertifikate übersehen werden und unbemerkt ablaufen.

Die Folgen eines abgelaufenen Zertifikats sind in der Praxis gravierend. Websites werden im Browser als unsicher markiert, APIs funktionieren nicht mehr korrekt und E-Mail- oder Login-Systeme können ausfallen.

Gerade bei größeren Kundenportfolios kann ein einzelner Fehler bereits spürbare Auswirkungen haben.

Automatisierung wird zum zentralen Faktor im Zertifikatsmanagement

Die beschlossene Verkürzung der Laufzeiten macht deutlich, dass manuelle Zertifikatsverwaltung langfristig nicht mehr praktikabel ist.

Wer Zertifikate einzeln bestellt, installiert und überwacht, stößt bei kurzen Laufzeiten schnell an organisatorische Grenzen.

Deshalb gewinnen automatisierte Verfahren zunehmend an Bedeutung. Dazu gehören insbesondere:

• ACME-basierte automatische Zertifikatsverlängerungen
• API-gestützte Verwaltungssysteme
• zentrales Monitoring aller Zertifikate
• automatisierte Erneuerungsprozesse

Gerade Domain-Reseller und Agenturen profitieren von Plattformen, die Domain-, DNS- und Zertifikatsverwaltung in einem System bündeln.

Je größer ein Domain-Portfolio ist, desto wichtiger werden klare Strukturen, zentrale Übersicht und automatisierte Abläufe.

Moderne Reseller-Systeme entwickeln sich daher zunehmend von reinen Domain-Verwaltungsplattformen hin zu umfassenden Infrastruktur-Lösungen, die auch Zertifikatsmanagement integrieren – wie sie etwa in modernen Systemen wie ResellerInterface umgesetzt werden, die Domain-, DNS- und Zertifikatsprozesse zunehmend in einer zentralen Infrastruktur zusammenführen.

Kostenlose vs. kostenpflichtige TLS-Zertifikate

Seit dem Erfolg von Let’s Encrypt werden heute viele Websites mit kostenlosen TLS-Zertifikaten betrieben. Technisch ist die Verschlüsselung dabei identisch mit kostenpflichtigen Zertifikaten.

Der wesentliche Unterschied liegt in der Art der Validierung.

Domain-Validated-Zertifikate (DV) bestätigen lediglich die Kontrolle über eine Domain. Organisation-Validated-Zertifikate (OV) beinhalten zusätzlich eine Prüfung des Unternehmens. Extended-Validation-Zertifikate (EV) gehen noch einen Schritt weiter und prüfen Identitätsmerkmale eines Unternehmens umfassender.

EV-Zertifikate werden heute jedoch nicht mehr durch sichtbare Browserindikatoren hervorgehoben, sondern spielen vor allem im Kontext von Compliance, Vertrauen und Unternehmensidentität eine Rolle.

Für viele Standard-Websites reichen DV-Zertifikate vollkommen aus. In regulierten Branchen oder bei sensiblen Anwendungen können OV- oder EV-Zertifikate jedoch weiterhin sinnvoll sein.

TLS ist nur ein Teil moderner Websicherheit

TLS-Zertifikate sind ein zentraler Baustein der Websicherheit, jedoch nur ein Teil eines umfassenden Sicherheitskonzepts.

Weitere wichtige Technologien und Standards sind beispielsweise DNSSEC zur Absicherung der Domainauflösung, HSTS zur Erzwingung von HTTPS-Verbindungen sowie SPF, DKIM und DMARC zur Absicherung von E-Mail-Kommunikation.

Auch regulatorische Anforderungen wie NIS2 zielen nicht auf einzelne Technologien ab, sondern auf ein ganzheitliches Sicherheits- und Risikomanagement.

Zertifikatsmanagement ist damit nur ein Bestandteil einer größeren Sicherheitsstrategie.

Fazit: Automatisiertes Zertifikatsmanagement wird unverzichtbar

Die beschlossene Verkürzung der TLS-Zertifikatslaufzeiten verändert die Art und Weise, wie digitale Infrastrukturen verwaltet werden, grundlegend.

Während einzelne Websites nur gering betroffen sind, steigt der Aufwand für Domain-Reseller, Agenturen und Hosting-Anbieter deutlich an.

Ohne automatisierte Prozesse werden Verwaltung, Überwachung und Erneuerung von Zertifikaten zunehmend fehleranfällig und aufwendig.

Die Entwicklung zeigt klar die Richtung der Branche: weg von manueller Einzelverwaltung hin zu automatisierten, zentral gesteuerten Infrastruktur- und Sicherheitsprozessen.

Wer frühzeitig auf Automatisierung und zentrale Verwaltung setzt, kann diese Veränderung nicht nur bewältigen, sondern langfristig effizienter und sicherer arbeiten.

Häufige Fragen zur Laufzeitverkürzung von TLS-Zertifikaten

Müssen bestehende Zertifikate sofort ersetzt werden?

Nein. Bereits ausgestellte Zertifikate behalten ihre Gültigkeit bis zum Ablaufdatum. Die neuen Laufzeiten gelten nur für neu ausgestellte Zertifikate.

Betrifft die Verkürzung auch kostenlose Zertifikate?

Ja. Die Laufzeiten werden unabhängig vom Preis des Zertifikats durch die Richtlinien des CA/Browser Forums festgelegt.

Was passiert bei einem abgelaufenen Zertifikat?

Ein abgelaufenes Zertifikat führt in der Regel zu Browserwarnungen und kann dazu führen, dass Websites, APIs oder Dienste nicht mehr erreichbar sind.

Reichen kostenlose DV-Zertifikate für Unternehmen aus?

Für viele Anwendungsfälle sind DV-Zertifikate ausreichend. In sensiblen oder regulierten Umgebungen können OV- oder EV-Zertifikate jedoch zusätzliche Anforderungen erfüllen.