Die Web-PKI steht vor der größten Umstellung seit Einführung automatisierter Zertifikatsausstellung. TLS-Serverzertifikate werden in den kommenden Jahren drastisch kürzer gültig sein – bis hin zu nur noch 47 Tagen Laufzeit.
Was zunächst wie eine Detailänderung klingt, hat massive operative, sicherheitstechnische und organisatorische Folgen. Für viele Teams bedeutet das: Entweder vollständige Automatisierung – oder ein reales Ausfallrisiko.
Was wurde beschlossen?
Das CA/Browser Forum, also das Gremium aus Browserherstellern und Certificate Authorities, hat beschlossen, die maximale Laufzeit für TLS-Serverzertifikate schrittweise zu reduzieren.
- Ab März 2026: maximal 200 Tage
- Ab März 2027: maximal 100 Tage
- Ab März 2029: maximal 47 Tage
Der Beschluss folgte einem Vorstoß von Apple. Frühere Initiativen – unter anderem von Google – waren noch gescheitert.
Warum werden Zertifikate so kurzlebig?
1. Widerruf funktioniert in der Praxis schlecht
OCSP und CRLs sind seit Jahren ein bekanntes Skalierungsproblem. Viele Clients prüfen Widerrufe gar nicht oder nur unzuverlässig. Ein kompromittiertes Zertifikat bleibt damit oft effektiv nutzbar.
Kürzere Laufzeiten reduzieren die Schadensdauer automatisch. Selbst ohne funktionierenden Widerruf läuft ein missbrauchtes Zertifikat schnell ab.
2. Reduzierung des Vertrauensfensters
Jede Zertifikatsausstellung ist ein Vertrauensakt. Wenn Identitätsprüfungen fehlerhaft waren, wirkt sich das bei kurzen Laufzeiten weniger lange aus.
3. Druck zur Automatisierung
Die Realität ist: Manuelle Zertifikatsverwaltung ist fehleranfällig. Die Verkürzung zwingt Organisationen zu sauberer Automatisierung – ähnlich wie bei Infrastructure as Code oder CI/CD.
Die unterschätzte Änderung: Re-Validierungen
Nicht nur die Zertifikate selbst werden kurzlebiger. Auch die Wiederverwendung von Validierungen wird stark eingeschränkt.
Identitätsnachweise dürfen künftig nur noch sehr kurz wiederverwendet werden. Langfristig bleiben dafür nur noch rund 10 Tage.
Das bedeutet praktisch:
- Häufigere ACME-Challenges
- Häufigere Domain-Validierungen
- Mehr Abhängigkeit von stabiler Automatisierung
Wer heute schon vorbereitet ist
Betreiber, die bereits konsequent automatisieren, sind klar im Vorteil. Typische Merkmale:
- ACME-basierte Ausstellung (z. B. mit Let's Encrypt)
- Zentralisiertes Zertifikatsmanagement
- Monitoring auf Ablaufdaten
- Immutable Infrastructure statt manuelle Serverpflege
Let's Encrypt zeigt seit Jahren, wohin die Reise geht. Dort sind 90-Tage- Zertifikate Standard, und noch kürzere Laufzeiten sind bereits möglich.
Die realen Risiken für Unternehmen
Abgelaufene Zertifikate führen zu:
- Produktionsausfällen
- Vertrauensverlust bei Kunden
- SEO-Einbrüchen
- Support-Eskalationen
In großen Organisationen mit Legacy-Systemen, isolierten Netzen oder komplexen Freigabeprozessen ist das ein ernstzunehmendes Risiko.
Konkrete Handlungsempfehlungen
1. Zertifikatsinventar erstellen
Viele Unternehmen wissen nicht, wo überall Zertifikate im Einsatz sind. Ohne Inventar keine Strategie.
2. Vollständige Automatisierung einführen
Zertifikate dürfen kein manuelles Ticket-Thema mehr sein. Ausstellung, Deployment und Rotation gehören in automatisierte Pipelines.
3. Monitoring etablieren
Ablaufüberwachung muss zentral, redundant und alarmierend sein.
4. Prozesse entkoppeln
Zertifikatserneuerungen dürfen nicht an Change-Boards oder manuelle Freigaben gekoppelt sein.
Strategische Einordnung
Die Verkürzung ist kein isoliertes Ereignis. Sie folgt einem klaren Trend:
- Weg von langfristigem Vertrauen
- Hin zu kontinuierlicher Verifikation
- Security durch Automatisierung statt Prozesse
Organisationen, die das ignorieren, werden operativ unter Druck geraten. Organisationen, die es ernst nehmen, gewinnen Robustheit und Sicherheit.
Fazit
47-Tage-Zertifikate sind kein Detail – sie sind ein Architekturthema.
Wer heute automatisiert, wird 2029 keine Probleme haben. Wer wartet, sammelt technische Schulden mit Ablaufdatum.
Die Frage ist nicht, ob diese Zukunft kommt. Sie ist bereits beschlossen.