Im April 2025 hat das CA/Browser Forum eine Maßnahme entschieden, welche die maximale Zertifikatslebensdauer von 398 Tagen bis März 2029 auf nur 47 Tage reduziert. Für Unternehmen, die digitale Infrastrukturen verwalten, bedeutet dies eine bedeutende Veränderung im Zertifikatsmanagement.

Zertifikatgültigkeitszeiträume

  • Seit März 2026: reduziert auf 200 Tage
  • März 2027: reduziert auf 100 Tage
  • März 2029: reduziert auf 47 Tage

Parallel zur Zertifikat-Lebensdauer reduziert sich die Gültigkeitsphase, in dem die Validierung von Domains (DCV) wiederverwendet werden kann:

  • Seit März 2026: 200 Tage
  • März 2027: 100 Tage
  • März 2029: 10 Tage

Die Verkürzung der Laufzeiten betrifft alle Typen von SSL Zertifikaten/TLS Zertifikaten, also domain-validierte Zertifikate (DV), organisations-validierte Zertifikate (OV) und Zertifikate mit Extended Validation (EV). SMIME Zertifikate und Codesigning Zertifikate sind nicht betroffen.

Konkrete Änderungen seit März:

Zertifikate, die vor dem ersten Verkürzungstermin (unterschiedliche Umsetzung durch die verschiedenen Zertifikatsstellen) verlängert wurden, behalten ihre Gültigkeit (1 Jahr).

Zertifikate, die seit dem Termin neu ausgestellt oder verlängert wurden, haben eine Laufzeit von einem Jahr,  werden aber zunächst für eine Laufzeit von 199 Tagen ausgestellt. Vor dem Ablaufdatum wird eine automatische Neuausstellung durchgeführt. managed IP wird Ihnen das neu ausgestellte Zertifikat auf dem üblichen Weg zur Installation zur Verfügung stellen. Das neue Zertifikat ist für die Restlaufzeit von 166 Tagen gültig, (199 Tage + 166 Tage = 365 Tage).

Implikation für Unternehmen

Die verkürzten Laufzeiten von Zertifikaten haben verschiedene Auswirkungen auf Unternehmen. So müssen Zertifikate deutlich häufiger erneuert werden, wodurch sich bei manuellen Prozessen zugleich das Risiko von Zertifikatsausfällen durch das Verpassen von Erneuerungsterminen oder durch Installationsprobleme erhöht. Zusätzlich entsteht für IT-Teams ein deutlich höherer Aufwand für das Zertifikatsmanagement.

Praktische Vorbereitung für Ihr Unternehmen

Die erste Verkürzung hat bereits begonnen. Unternehmen sollten dies als Chance sehen, jetzt die richtigen Maßnahmen zu ergreifen:

Durchführung einer Zertifikatsinventur

Bevor Sie Ihre Zertifikate effektiv verwalten können, müssen Sie wissen, welche Sie überhaupt haben. Das bedeutet, jedes Zertifikat in Ihrer gesamten Infrastruktur zu identifizieren: Produktiv-Websites, Staging-Umgebungen, APIs, Mailserver, interneTools sowie alle Drittanbieterdienste. Eine gründliche Prüfung sollte nicht nur die Zertifikate selbst erfassen, sondern auch, wo sie installiert sind, wer dafür verantwortlich ist, wann sie ablaufen und welches Validierungsniveau sie verwenden.

Automatisierung priorisieren

Ein automatisiertes Zertifikats-Lifecycle-Management übernimmt den gesamten Prozess von der Ausstellung über die Erneuerung bis hin zur Installation und reduziert den Bedarf an manuellen Eingriffen bei Routineaufgaben. Dadurch wird das Risiko eliminiert, dass jemand eine Verlängerungsfrist vergisst, und gleichzeitig die Wahrscheinlichkeit von Konfigurationsfehlern bei der Installation verringert. Wenn Sie bisher noch keine Automatisierung einsetzen, bietet Ihnen der gestaffelte Zeitplan genügend Spielraum, diese richtig zu implementieren. Zertifikate mit einer Laufzeit von 200 Tagen im Jahr 2026 sind mit guten manuellen Prozessen noch handhabbar Zertifikate mit nur 47 Tagen Laufzeit im Jahr 2029 hingegen nicht mehr.

Ein Lösungsansatz zur Automatisierung bietet ACME. ACME ist ein Protokoll zur automatisierten Verwaltung von SSL-Zertifikaten (kompletter Lebenszyklus eines Zertifikates bis hin zur Installation). managed IP wird eine ACME Implementierung im SSL Portal anbieten. Diese können Sie nutzen, um auf Ihren Server Endpunkten ACME Instanzen einzurichten, mit denen Sie den Prozess der Ausstellung bis zur Installation automatisieren können. Wir empfehlen, bereits jetzt mit den internen und externen Verantwortlichen der SSL Zertifikate, die Sie im Rahmen der Zertifikatsinventur identifiziert haben, die Möglichkeiten der ACME Implementierung zu besprechen.