SSL/TLS-Serverzertifikate bald nur noch 47 Tage gültig

Das CA/Browser Forum verkürzt die maximale Laufzeit von SSL/TLS-Zertifikaten schrittweise bis 2029 auf nur noch 47 Tage. Diese Entscheidung hat mittelfristig erhebliche Auswirkungen auf den Betrieb von Webservern und IT-Infrastruktur. Insbesondere Admins, die bislang auf manuell verwaltete Zertifikate gesetzt haben, müssen handeln.

Kurz erklärt: Wozu SSL/TLS-Zertifikate?

TLS- (früher SSL-) Zertifikate sind seit Jahrzehnten das Fundament verschlüsselter Kommunikation im Internet. Sie stellen sicher, dass Daten zwischen Server und Nutzer vertraulich übertragen werden und bestätigen die Echtheit des Servers. Ohne gültiges TLS-Zertifikat verweigern moderne Browser und Clients zunehmend die Verbindung, beispielsweise in Bezug auf Webseiten, Mailserver oder APIs.

Bisher war der Verwaltungsaufwand überschaubar: Einmal jährlich musste ein Zertifikat erneuert und ausgetauscht werden. Damit ist in den kommenden Jahren allerdings Schluss. Denn die  Zeitspanne der Gültigkeit der Zertifikate sinkt drastisch.

Lebensdauer sinkt erheblich

Das CA/Browser Forum, ein Zusammenschluss führender Zertifizierungsstellen (CAs) und Browserhersteller, hat im April 2025 beschlossen, die maximale Gültigkeitsdauer von TLS-Serverzertifikaten schrittweise zu verkürzen. Ziel ist eine höhere Sicherheit und geringere Risiken durch verfälschte oder veraltete Zertifikate.

Die Übergangsfristen im Überblick:

In der Praxis fällt die maximale Zertifikatsgültigkeit bei den meisten Zertifizierungsstellen um einen Tag geringer aus, um technische Kompatibilitäten zu gewährleisten. Einige Zertifizierungsstellen stellen bereits ab Februar 2026 auf kürzere Laufzeiten um, teilweise mehrere Wochen vor der offiziellen Frist.

SSL-Zertifikate mit einer Gültigkeit von 397 Tagen werden ausgestellt bei:

• DigiCert (einschließlich der Marken "Thawte", "Geotrust", "RapidSSL") nur bis 23. Februar 2026
• Telekom Security (auch als "TeleSec" bekannt) nur bis 25. Februar 2026
• Sectigo (früher als "Comodo" bekannt) nur bis 11. März 2026
• GlobalSign nur bis 13. März 2026 (inoffizielle Information, keine öffentliche Quelle)

Wichtig: Maßgeblich ist das Ausstellungsdatum durch die CA, nicht der Zeitpunkt der Bestellung. Vor allem Zertifikate mit Organisations- oder erweiterten Prüfungen (OV/EV) müssen deshalb frühzeitig beantragt werden.

Warum das für Sie relevant ist

Ab März 2029 bedeutet die neue Regelung, dass ein Zertifikat alle 47 Tage erneuert werden muss. Die einzige zukunftsfähige Lösung ist die Automatisierung der Zertifikatsverlängerung und des Zertifikatsaustausches, denn ein regelmäßiger händischer Austausch von SSL-Zertifikaten ab März 2029 ist hochgradig fehleranfällig und wirtschaftlich nicht sinnvoll.

Software, die kein automatisches Zertifikatsmanagement unterstützt, sollte deshalb zeitnah ersetzt oder modernisiert werden, da einerseits weitere Verkürzungen der Zertifikatslaufzeiten sowie zudem grundlegende Verschlüsselungsveränderungen aufgrund der Post-Quanten-Kryptographie (PQC) zu erwarten sind. Das betrifft etwa ältere Webserver, Mailgateways oder Appliances mit proprietärer SSL-Implementierung. Vorgelagerte SSL/TLS-Gateways oder reverse Proxies sind meist nur ein Workaround, aber bei weitem nicht für alle (proprietären) Protokolle, Schnittstellen und Lösungen technisch verwendbar.

Ein Blick in die Zukunft: Automatisierung mit Let’s Encryt

Wir steigen aufgrund der verkützten Lebensdauer für unsere Systeme und in Kundenprojekten auf den Einsatz von Let’s Encryt um, einer zukunftssichere Lösung der kostenlosen, offenen Zertifizierungsstelle der Internet Security Research Group (ISRG). Zertifikate werden dort vollautomatisiert über Protokolle wie ACME (Automatic Certificate Management Environment) beantragt, verifiziert, ausgestellt und regelmäßig erneuert.

Viele moderne Systeme (z. B. Apache Guacamole, Proxmox VE, OPNSense, Mailserver, Groupware-Lösungen oder Container-Plattformen) unterstützen ACME bereits nativ oder über Integrationen. Dadurch erfolgt die Zertifikatsverwaltung ohne manuelle Eingriffe und bleibt auch bei künftigen Laufzeitverkürzungen stabil.

So bleibt die TLS-Verschlüsselung sicher, automatisiert und wartungsarm, auch wenn die Lebensdauer von Zertifikaten künftig weiter sinkt.

Gerne stehen wir Ihnen für weitere Fragen zur Verfügung.