In der Welt der TLS-Zertifikate steht eine drastische Änderung bevor. Die maximale Gültigkeitsdauer von öffentlichen Zertifikaten wird ab 2026 schrittweise auf schließlich nur noch 47 Tage im Jahr 2029 reduziert. Dies hat erhebliche Auswirkungen auf Unternehmen, die sich noch auf die manuelle Verwaltung von Zertifikaten verlassen.
Wer hat das vorgeschlagen?
Der Vorschlag wurde von Apple im Rahmen seines umfassenderen Engagements für die Internetsicherheit gemacht. Obwohl Google zuvor eine maximale Laufzeit von 90 Tagen gefordert hatte, stimmten sie fast sofort für den Vorschlag von Apple, als die Abstimmung im CA/Browser Forum begann – der Allianz von Zertifizierungsstellen (wie DigiCert, Sectigo, GlobalSign) und Browserherstellern (wie Mozilla, Google, Apple, Microsoft).
Warum genau 47 Tage?
Die 47 Tage wurden nicht willkürlich ausgewählt, sondern basieren auf einer logischen Kalenderzählung:
- 200 Tage = 6 volle Monate (184 Tage) + ein halber Monat (15 Tage) + 1 Tag Spielraum
- 100 Tage = 3 volle Monate (92 Tage) + ~1/4 Monat (7 Tage) + 1 Tag Spielraum
- 47 Tage = 1 voller Monat (31 Tage) + ein halber Monat (15 Tage) + 1 Tag Spielraum
Diese Dauer lässt sich gut mit der automatischen Erneuerung vereinbaren, ohne dass das Risiko von abgelaufenen Zertifikaten zu groß ist.
Was ist an dem derzeitigen System falsch?
Ein wichtiger Teil des Vorschlags ist die Kritik am derzeitigen Widerrufssystem (CRL und OCSP), das nach Ansicht des CA/Browser Forums unzuverlässig ist. In der Praxis ignorieren die Browser diese Methoden oft, so dass die Benutzer dem Risiko abgelaufener oder sogar missbrauchter Zertifikate ausgesetzt sind.
Aus diesem Grund entscheidet man sich für kürzere Gültigkeitszeiträume: Das minimiert die Wahrscheinlichkeit, dass ein kompromittiertes Zertifikat lange Zeit aktiv bleibt. Im Jahr 2023 genehmigte das Forum sogar sogenannte kurzlebige Zertifikate, die innerhalb von 7 Tagen ablaufen und keine CRL- oder OCSP-Unterstützung benötigen.
Was ändert sich wann?
- Bis zum 15. März 2026: Maximal 398 Tage
- Ab 15. März 2026: Maximal 200 Tage
- Ab 15. März 2027: Maximal 100 Tage
- Ab 15. März 2029: Maximal 47 Tage
- Außerdem: Daten zur Domainvalidierung dürfen nur für 10 Tage ab 2029 wiederverwendet werden.
Was bedeutet das für Ihr Unternehmen?
Ohne Automatisierung wird die Verwaltung von Zertifikaten fast unmöglich. Abgelaufene Zertifikate können dazu führen, dass Websites nicht mehr erreichbar sind, Verbindungen unterbrochen werden und der Ruf geschädigt wird.
Deshalb ist es jetzt an der Zeit zu handeln:
- Abbilden, welche Zertifikate aktiv sind
- Implementieren Sie Automatisierungstools wie ACME oder kommerzielle Alternativen
- Überwachung und Benachrichtigungen bereitstellen
- Erhalten Sie Unterstützung bei der Einrichtung und Verwaltung
Fazit
Die Verkürzung der Gültigkeitsdauer von TLS-Zertifikaten auf nur 47 Tage markiert einen grundlegenden Wandel in der Herangehensweise an die digitale Sicherheit. Automatisierung wird bald nicht mehr ein Luxus, sondern eine Notwendigkeit sein. Unternehmen, die jetzt Schritte zur automatischen Zertifikatserneuerung unternehmen, werden nicht nur technische Probleme vermeiden, sondern auch ihre Widerstandsfähigkeit gegenüber Sicherheitsbedrohungen erhöhen.