SSL-Zertifikate: Kürzere Laufzeiten und was das für dich bedeutet

SSL-Zertifikate: Kürzere Laufzeiten und was das für dich bedeutet

Die Laufzeiten von SSL/TLS-Zertifikaten werden in den kommenden Jahren deutlich verkürzt. Was auf den ersten Blick nach zusätzlichem Verwaltungsaufwand klingt, ist eine konsequente Weiterentwicklung der Web-Security-Standards. Für Betreiber von Websites, Online-Shops und Webanwendungen ergeben sich daraus konkrete Handlungsfelder, die du frühzeitig kennen solltest.

Was sich bei den Laufzeiten von SSL-Zertifikaten ändert

Lange Zeit waren SSL/TLS-Zertifikate mit einer maximalen Laufzeit von zwei Jahren erhältlich. Bereits 2020 wurde diese Grenze auf 398 Tage, also rund 13 Monate, reduziert. Nun hat das CA/Browser Forum, das Gremium aus Zertifizierungsstellen und Browserherstellern, beschlossen, die maximale Gültigkeitsdauer schrittweise weiter zu senken.

Der aktuelle Fahrplan sieht folgende Stufen vor:

Besonders die letzte Stufe ist bemerkenswert: Mit einer Gültigkeitsdauer von nur noch 47 Tagen und einer Domain-Validierung, die maximal zehn Tage alt sein darf, wird der manuelle Austausch von Zertifikaten in der Praxis kaum noch handhabbar sein. Automatisierung wird damit nicht mehr optional, sondern zur Grundvoraussetzung für einen reibungslosen Betrieb.

Warum kürzere Laufzeiten sicherheitstechnisch sinnvoll sind

Die Verkürzung der Zertifikatslaufzeiten verfolgt ein klares Ziel: Die Angriffsfläche durch kompromittierte oder veraltete Zertifikate soll minimiert werden. Je kürzer ein Zertifikat gültig ist, desto kleiner ist das Zeitfenster, in dem ein gestohlener Private Key missbraucht werden kann.

Darüber hinaus erzwingen kürzere Laufzeiten eine regelmäßige Überprüfung der Domain-Inhaberschaft. Das reduziert das Risiko, dass Zertifikate für Domains im Umlauf bleiben, die längst den Besitzer gewechselt haben oder nicht mehr aktiv betrieben werden. In der Vergangenheit gab es wiederholt Fälle, in denen abgelaufene oder übertragene Domains mit noch gültigen Zertifikaten für Phishing-Angriffe missbraucht wurden.

Ein weiterer Aspekt betrifft die kryptografische Agilität. Kürzere Erneuerungszyklen ermöglichen es, neue Verschlüsselungsstandards schneller in die Breite zu bringen. Wenn ein Algorithmus als unsicher eingestuft wird, dauert es bei kurzen Laufzeiten nur wenige Wochen, bis das gesamte Ökosystem auf einen sichereren Standard umgestellt ist, statt Monate oder Jahre auf den Ablauf bestehender Zertifikate warten zu müssen.

Die Rolle von ACME und automatisierter Zertifikatsverwaltung

Das ACME-Protokoll (Automatic Certificate Management Environment) ist der technische Standard, der automatisierte Zertifikatsausstellung und -erneuerung ermöglicht. Bekannt geworden ist ACME vor allem durch Let's Encrypt, das seit 2016 kostenlose DV-Zertifikate über dieses Protokoll ausstellt.

Mit den kommenden Laufzeitverkürzungen wird ACME zum De-facto-Standard für die Zertifikatsverwaltung. Der Ablauf ist dabei vollständig automatisierbar: Ein Client auf deinem Server stellt einen Antrag bei der Zertifizierungsstelle, weist die Kontrolle über die Domain nach (typischerweise über HTTP-01 oder DNS-01 Challenges), erhält das Zertifikat und installiert es. Der gesamte Prozess läuft ohne manuelles Eingreifen ab und wird in definierten Intervallen wiederholt.

Für Webhosting-Kunden übernimmt in der Regel der Hosting-Anbieter diese Automatisierung. Das bedeutet, dass du dich im Normalfall nicht selbst um die Einrichtung eines ACME-Clients kümmern musst. Entscheidend ist, dass dein Hosting-Setup diese automatisierte Erneuerung unterstützt und zuverlässig umsetzt.

Auswirkungen auf verschiedene Hosting-Szenarien

Shared Hosting und Managed Webhosting

Wenn du ein klassisches Webhosting-Paket nutzt, liegt die Zertifikatsverwaltung in den Händen deines Anbieters. Die Umstellung auf kürzere Laufzeiten sollte hier weitgehend transparent für dich ablaufen. Achte darauf, dass dein Anbieter Let's Encrypt oder einen vergleichbaren ACME-fähigen Service integriert hat. Bei Managed-Hosting-Lösungen ist das in der Regel Standard.

Eigene Server und VPS

Betreibst du einen eigenen Server oder VPS, bist du für die Zertifikatsverwaltung selbst verantwortlich. Tools wie Certbot, acme.sh oder Caddy (das ACME nativ integriert) übernehmen die automatisierte Erneuerung zuverlässig. Wichtig ist, dass du die Erneuerung nicht nur einrichtest, sondern auch das Monitoring dafür aufsetzt. Ein fehlgeschlagener Renewal-Prozess fällt bei einer 47-Tage-Laufzeit sehr schnell auf, nämlich spätestens dann, wenn deine Website plötzlich eine Zertifikatswarnung anzeigt.

Prüfe außerdem, ob dein Setup DNS-basierte Validierung (DNS-01) unterstützt. Diese Methode ist flexibler als HTTP-01 und ermöglicht auch die Ausstellung von Wildcard-Zertifikaten. Sie erfordert allerdings eine API-Anbindung an deinen DNS-Provider.

Komplexere Infrastrukturen mit Load Balancern und CDNs

In Umgebungen mit vorgelagerten Reverse Proxies, Load Balancern oder Content Delivery Networks wird die Zertifikatsverwaltung komplexer. Hier muss sichergestellt sein, dass der Renewal-Prozess an der richtigen Stelle ansetzt und das neue Zertifikat auf allen relevanten Endpunkten deployt wird. Viele CDN-Anbieter und Cloud-Plattformen bieten eigene Zertifikatslösungen an, die bereits ACME-kompatibel sind. Trotzdem lohnt es sich, die gesamte Kette regelmäßig zu überprüfen.

Extended Validation und Organization Validation: Was sich ändert

Die Laufzeitverkürzung betrifft nicht nur Domain-Validated-Zertifikate (DV), sondern auch Organization-Validated (OV) und Extended-Validation-Zertifikate (EV). Gerade bei OV- und EV-Zertifikaten, bei denen eine Überprüfung der Organisation durch die Zertifizierungsstelle stattfindet, stellt die kurze Laufzeit eine organisatorische Herausforderung dar.

Die Validierung der Organisation muss zwar nicht bei jeder Erneuerung vollständig wiederholt werden, aber die Zertifizierungsstellen müssen ihre Prozesse deutlich beschleunigen. Für Unternehmen, die auf EV-Zertifikate setzen, bedeutet das, dass sie ihre internen Freigabeprozesse ebenfalls anpassen müssen, damit Erneuerungen nicht an bürokratischen Hürden scheitern.

Praktische Checkliste für die Vorbereitung

Die Umstellung kommt nicht über Nacht, aber die erste Stufe im März 2026 ist nicht mehr weit entfernt. Folgende Punkte solltest du zeitnah prüfen:

• Inventarisiere alle aktiven SSL/TLS-Zertifikate in deiner Infrastruktur. Welche Domains und Subdomains sind betroffen? Welche Zertifikatstypen (DV, OV, EV) sind im Einsatz?
• Prüfe, ob automatisierte Erneuerung bereits eingerichtet und funktionsfähig ist. Teste den Renewal-Prozess aktiv, anstatt darauf zu vertrauen, dass er im Ernstfall funktioniert.
• Richte Monitoring für Zertifikatslaufzeiten ein. Tools wie ssl-cert-check oder Monitoring-Dienste warnen dich rechtzeitig vor ablaufenden Zertifikaten.
• Stelle sicher, dass dein DNS-Provider eine API anbietet, falls du DNS-01-Validierung nutzen möchtest oder musst.
• Kläre mit deinem Hosting-Anbieter, wie die automatisierte Erneuerung für dein spezifisches Setup gehandhabt wird.

Was das für deine Projekte bei easyname bedeutet

Wenn du deine Domains über easyname registrierst und dein Webhosting dort betreibst, profitierst du davon, dass Domain-Verwaltung und Hosting aus einer Hand kommen. Das vereinfacht die DNS-Konfiguration, die für automatisierte Zertifikatserneuerung eine zentrale Rolle spielt, erheblich.

Für WordPress-Projekte bietet sich das WordPress Hosting von easyname an, bei dem die Serverumgebung bereits auf die Anforderungen von WordPress optimiert ist und SSL-Zertifikate standardmäßig integriert werden. Wer mehr Kontrolle über die Serverkonfiguration benötigt, etwa weil eigene ACME-Clients oder spezifische TLS-Konfigurationen erforderlich sind, findet in den VPS-Server-Angeboten von easyname die passende Grundlage.

Auch beim Betrieb professioneller E-Mail-Adressen über die eigene Domain spielt die Zertifikatsverwaltung eine Rolle. Verschlüsselte Mailübertragung via STARTTLS oder Implicit TLS setzt gültige Zertifikate voraus. Mit den E-Mail-Lösungen von easyname ist die TLS-Absicherung bereits integriert, sodass du dich auf den Inhalt deiner Kommunikation konzentrieren kannst, statt dich mit Zertifikats-Renewals für deinen Mailserver auseinanderzusetzen.

Die Verkürzung der SSL-Laufzeiten ist kein Grund zur Sorge, sondern eine sinnvolle Entwicklung in Richtung eines sichereren Internets. Entscheidend ist, dass du deine Infrastruktur rechtzeitig darauf vorbereitest und auf einen Hosting-Partner setzt, der diese Automatisierung zuverlässig abbildet.