Handlungsbedarf für Webseitenbetreiber: Lebensdauer von Zertifikaten wird deutlich verkürzt

Am 9. Oktober 2024 kündigte Apple im Rahmen des CA/B Forums (Certification Authority Browser Forum) an, die maximale Laufzeit öffentlicher SSL/TLS-Zertifikate bis 2027 auf 45 Tage verkürzen zu wollen. Gleichzeitig ist geplant auch die zulässige Wiederverwendungsdauer von DCV-Challenges (Domain Control Validation) bis 2027 auf 10 Tage zu reduzieren.

Diese Initiative wurde sechs Monate später erneut aufgegriffen und angepasst – wiederum durch Apple. Dabei schlug das Unternehmen vor, den ursprünglichen Zeitplan zu ändern: Die maximale Laufzeit von SSL/TLS-Zertifikaten soll künftig 47 Tage betragen, während die Gültigkeit von DCV-Challenges ab dem 15. März 2028 auf 10 Tage begrenzt wird.

  • Bis zum 15. März 2026 bleibt die maximale Laufzeit eines TLS-Zertifikats bei 398 Tagen.
  • Ab dem 15. März 2026 beträgt die maximale Laufzeit eines TLS-Zertifikats 200 Tage.
  • Ab dem 15. März 2027 verkürzt sie sich weiter auf 100 Tage.
  • Und ab dem 15. März 2029 wird die maximale Laufzeit eines TLS-Zertifikats schließlich auf 47 Tage reduziert

Parallel dazu werden auch die Wiederverwendungsfristen für die Domain Control Validation (DCV-Challenges) – also die Überprüfungen, die direkt in der DNS-Zone der im Zertifikat aufgeführten Domain erfolgen – an den Zertifikats-Zeitplan angepasst. Ziel ist es, bis 2029 eine maximale Frist von 10 Tagen zu erreichen.

  • Bis zum 15. März 2026 dürfen die Informationen zur Domainvalidierung maximal 398 Tage lang wiederverwendet werden.
  • Ab dem 15. März 2026 verkürzt sich diese Frist auf 200 Tage.
  • Ab dem 15. März 2027 beträgt sie nur noch 100 Tage.
  • Ab dem 15. März 2029 schließlich wird die maximale Wiederverwendungsdauer auf 10 Tage reduziert.

Angesichts dieser tiefgreifenden Veränderungen ab 2026 ist es dringend notwendig, sich rechtzeitig vorzubereiten. Die Entscheidungen des CA/B Forums werden das Umfeld der digitalen Zertifikatssicherheit nachhaltig verändern: Die Laufzeit von SSL/TLS-Zertifikaten wird weiter verkürzt, parallel dazu verschärfen sich die Regeln für die Validierung durch DCV-Challenges.

Der Erfolgsfaktor für ein zukunftssicheres Zertifikatsmanagement liegt klar in der Automatisierung: Mit nur noch 47 Tagen Laufzeit ab 2029 sind neun Erneuerungen pro Jahr und pro Zertifikat notwendig – eine manuelle Verwaltung ist damit schlicht nicht mehr realistisch.

Folgende Punkte sind für die Umstellung zu beachten:

  • Zertifikatsanbieter / Zertifizierungsstelle (CA): Setzen Sie hier auf einen vertrauenswürdiger Partner, der Sie bei allen Fragen rund um die Authentifizierung von Organisationen und Domains unterstützt – entscheidend ist hierbei das Service-Level für eine reibungslose Verwaltung. Empfehlenswert ist ein Multi-CA-Ansatz, um die Abhängigkeit von einer einzigen CA zu vermeiden – wie die jüngsten Probleme bei Entrust gezeigt haben.
  • Registrar / Primärer DNS-Provider: Die Kontrolle über den primären DNS der in den Zertifikaten aufgeführten Domains wird künftig der entscheidende Faktor für die Ausstellung sein. Jede Zertifikatsausgabe erfordert die Einrichtung eines TXT- oder CNAME-Eintrags in der betroffenen Zone. Eine direkte Anbindung zwischen CA und DNS ist daher unerlässlich.
  • CLM-Anbieter (Certificate Lifecycle Management): Das Inventarisieren des Zertifikatsbestands, das Definieren von Management-Regeln und die vollständige Automatisierung des Prozesses – von der CSR (Certificate Signing Request / Zertifikatsanforderung)-Generierung bis hin zum Deployment der Zertifikate auf den Servern – sind die zentralen Aufgaben eines CLM. Damit dies funktioniert, stützt sich das CLM auf Schnittstellen zu CAs bzw. Zertifikatsanbietern.

Gut vorbereitet sein – wie Sie die richtigen Lösungen finden

Vorbereitung heißt, die passenden Lösungen für Ihr Unternehmen zu erkennen – in den Bereichen Prozess, Technologie und Budget – und frühzeitig zu verstehen, welche Auswirkungen diese Entscheidungen haben. So sind Sie idealerweise schon im ersten Halbjahr 2026 startklar.

Nameshield – Ihr Partner für alle Herausforderungen rund um Zertifikate

Nameshield ist einzigartig auf dem Markt: Wir sind sowohl Registrar als auch Anbieter von Multi-AC-Zertifikaten. Seit über 10 Jahren kümmern wir uns darum, dass die Authentifizierung von Organisationen und Domains reibungslos funktioniert.

Wir pflegen enge Beziehungen zu den führenden Zertifizierungsstellen wie DigiCert, Sectigo und GlobalSign – und beherrschen gleichzeitig die DNS-Technologie, die für die Validierung von DCV-Challenges nötig ist. Das bedeutet: Öffentliche Zertifikate können bei uns fast sofort ausgestellt werden.

Außerdem verfügt Nameshield über Schnittstellen zu den wichtigsten CLM-Anbietern, sodass alle Komponenten der Zertifikatsverwaltung nahtlos zusammenarbeiten.

So sind wir in der Lage, frühzeitig alle Herausforderungen zu erkennen und professionell und zuverlässig zu lösen. Sprechen Sie uns bei Fragen zu dem Thema gerne jederzeit an.

Verkürzung der Laufzeit von SSL/TLS-Zertifikaten auf 45 Tage bis 2027: Apple macht den ersten Schritt

Am 9. Oktober teilte Apple dem CA/Browser Forum mit, dass es auf GitHub einen Entwurf für die Abstimmung über zwei wichtige Ereignisse in der Lebensdauer von SSL/TLS-Zertifikaten zur Kommentierung veröffentlicht hat:

  • Schrittweise Verkürzung der Höchstdauer öffentlicher SSL/TLS-Zertifikate auf 45 Tage bis 2027

  • Schrittweise Verkürzung der Wiederverwendungsfrist für DCV-Challenges auf 10 Tage bis 2027

Im März 2023 kündigte Google in seinem Fahrplan „Moving Forward, Together“ an, dem CA/B-Forum eine Verkürzung der maximal möglichen Gültigkeitsdauer für öffentliche TLS-Zertifikate von 398 Tagen auf 90 Tage anzubieten. Seit dieser Ankündigung wartet der Markt gespannt auf Googles Bestätigung, vor allem aber auf den Zeitplan für die Umsetzung… bisher ohne Erfolg. Mozilla seinerseits kündigte vor einigen Wochen an, dem Beispiel von Google bei seinem Firefox-Browser folgen zu wollen, ohne weitere Details zu nennen.

Apple hat nun den ersten Schritt getan und am 9. Oktober bekannt gegeben, zukünftig sowohl die Lebensdauer von Zertifikaten auf 45 Tage zu verkürzen (statt wie erwartet 90 Tage) als auch die Dauer der DCV-Challenges auf 10 Tage zu begrenzen, gemäß dem unten stehenden Zeitplan. Ein echter Paukenschlag:

  • Sep-15-2025 => Zertifikate und DCV-Validierungszeiten auf 200 Tage reduziert
  • Sep-15-2026 => Zertifikate und DCV-Validierungszeiten auf 100 Tage reduziert
  • Apr-15-2027 => Zertifikate und DCV-Validierungszeiten auf 45 Tage reduziert
  • Sep-15-2027 => DCV Validierungszeit: 10 Tage

Was steckt hinter der Entscheidung, welche Folgen hat sie und wie können Sie sich als Domaininhaber auf die Veränderungen vorbereiten?

Kontext und Analyse:

Im ersten Stadium wird die Veröffentlichung von den Marktteilnehmern kommentiert werden, bevor die formelle Abstimmung im CA/B-Forum erfolgt, über die wiederum die Mitglieder abstimmen: die Herausgeber von Internet-Browsern (Google, Mozilla, Apple und Microsoft…) einerseits und die Zertifizierungsstellen andererseits. Sicherlich wird es noch Änderungen geben, aber die Grundidee steht und der Prozess ist in Gang.

Die Softwarehersteller sind sich in der Tat einig, dass die Lebensdauer von Zertifikaten verkürzt werden muss. Unter den Zertifizierungsstellen unterstützt Sectigo, einer der wichtigsten Akteure in der Zertifikatsbranche, die Initiative bereits. Es ist davon auszugehen, dass die Dinge von nun an schnell voranschreiten werden und in den kommenden Wochen oder Monaten nur wenige Kommentare eingehen und ein Votum verfasst wird. Sobald wir mehr über die Bestätigung der Laufzeiten und des Zeitplans wissen, werden wir Sie natürlich informieren.

Erwartete Ergebnisse:

  • Lebensdauer von Zertifikaten: Ob 90 Tage, 45 Tage oder sogar weniger, diese Verkürzung ist keine Überraschung mehr und hat erhebliche Auswirkungen auf das Portfolio öffentlicher Zertifikate. Die Zertifikate können nicht mehr manuell verwaltet werden. Der Markt hat mit dem Übergang zur Automatisierung begonnen, insbesondere durch CLMs (Certificate Lifecycle Managers). Für Unternehmen und Organisationen wird es darauf ankommen, sich auf Partner zu verlassen, die so viele Verbindungen wie möglich zwischen Organisationen, Zertifizierungsstellen und CLMs anbieten können.
     
  • Dauer der DCV-Abfrage: Eine Verkürzung der Dauer der DCV-Abfrage auf 10 Tage hätte, sofern sie validiert wird, erhebliche Auswirkungen, vielleicht sogar mehr als eine Verkürzung der Lebensdauer von Zertifikaten. Bislang hat die Branche Domainnamen 398 Tage lang vorvalidiert und dabei nur einmal die DCV-Anforderung verwendet. Die Ankündigung von Apple würde somit die Verwendung einer DCV-Challenge für praktisch alle Bestellungen erzwingen, was einen großen Paradigmenwechsel darstellen und Verbindungen mit einem weiteren Baustein im Ökosystem mit sich bringen würde: dem DNS. Bei der DCV-Abfrage (Domain Control Validation) wird in die Zone des/der im Zertifikat aufgeführten Domainnamens/-namen eingegriffen, im Idealfall sofort, um das Zertifikat zu validieren.
     
  • Dauer der Organisationsauthentifizierung: Apple hat nichts zum Thema der Gültigkeitsdauer der Organisationsauthentifizierung für OV-Zertifikate bekannt gegeben, die derzeit 825 Tage beträgt. Es kursieren jedoch Gerüchte, dass diese auf 398 Tage oder sogar 365 Tage verkürzt werden könnte.

Was Sie bereits jetzt tun können:

Der Schlüssel zu einer erfolgreichen Zertifikatsverwaltung liegt in der Automatisierung. Eine Zertifikatslebensdauer von 45 Tagen entspricht 9 Eingriffen pro Jahr und Zertifikat. Eine manuelle Verwaltung wird damit utopisch. Wir empfehlen Ihnen folgende Lösungsbausteine:

  1. Zertifikatsanbieter/Zertifizierungsstelle (CA): ein vertrauenswürdiger Partner, der Sie bei Problemen mit der Authentifizierung in Ihrem Unternehmen und Ihrer Domain unterstützt. Das Dienstleistungsniveau ist der Schlüssel zu einem guten Management. Ein Multi-CA-Partner wird daher empfohlen, um die Abhängigkeit von einer einzigen CA zu begrenzen, wie im Falle der jüngsten Rückschläge von Entrust.
     
  2. Registrar/Primärer DNS: Die Beherrschung des primären DNS der in den Zertifikaten aufgeführten Domainnamen wird zum Schlüssel für die Zustellung. Jedes Mal, wenn ein Zertifikat ausgestellt wird, wird ein TXT oder CNAME in der/den betreffenden Zone(n) installiert. Eine Verbindung zwischen der CA und dem DNS ist unerlässlich.
     
  3. CLM-Editor: Der CLM hat die Aufgabe, das Zertifikatsportfolio zu inventarisieren, Regeln für die Verwaltung des Zertifikatsportfolios festzulegen und den gesamten Bestellprozess zu automatisieren, von der Erstellung von CSRs bis zum Einsatz von Zertifikaten auf Servern. Um ordnungsgemäß zu funktionieren, ist der CLM auf Verbindungen mit CAs oder Zertifikatslieferanten angewiesen.

Vorbereitung bedeutet also, die geeignetste Lösung auf der Grundlage dieser drei Dimensionen zu ermitteln und diese Analyse durchzuführen, um die Auswirkungen in Bezug auf Verfahren, Technologie und Budget – im Idealfall – vor Ende des ersten Halbjahres 2025 zu verstehen.

Der Ansatz von Nameshield:

Nameshield nimmt als Registrar und Anbieter von Multi-AC-Zertifikaten eine besondere Stellung auf dem Markt ein. Seit über 10 Jahren stellt die Authentifizierung von Organisationen und Domains mit Zertifikaten unser Tagesgeschäft dar. Einerseits haben wir eine enge Beziehung zu den größten CAs auf dem Markt (Digicert, Sectigo, GlobalSign), andererseits beherrschen wir den DNS-Brick für die DCV-Validierung. Infolgedessen können wir öffentliche Zertifikate fast sofort ausstellen. Nicht zuletzt verfügt Nameshield über Beziehungen zu den wichtigsten Akteuren auf dem CLM-Markt, so dass Sie eine umfassende Verbindung zwischen den verschiedenen an der Zertifikatsverwaltung beteiligten Parteien sicherstellen können. Auf diese Weise können wir Sie dabei unterstützen, sich gut auf die oben genannten Herausforderungen vorzubereiten.

Für weitere Informationen wenden Sie sich bitte an unser Verkaufsteam oder an unser Team für Zertifikate.