Schlagwort: TLS

47 Tage: Was die geplante Verkürzung der Zertifikatslaufzeiten bedeutet

Kontext und Auswirkungen auf Ihre Zertifikatsverwaltung

Der Markt für SSL- und TLS-Zertifikate wächst seit Jahren stark. Während 2015 noch rund 3 Millionen Zertifikate im Umlauf waren, sind es 2025 bereits etwa 194 Millionen. Gleichzeitig hat sich HTTPS als Standard etabliert – rund 98 % des Chrome-Datenverkehrs sind heute verschlüsselt.

Treiber dieser Entwicklung sind die digitale Transformation, steigende Sicherheitsanforderungen und die zunehmende Vernetzung durch IoT. Auch wirtschaftlich zeigt sich das Wachstum deutlich: Der globale TLS-Markt soll von 4,7 Milliarden Euro (2023) auf über 18,5 Milliarden Euro bis 2030 steigen.

Trotzdem bestehen weiterhin Herausforderungen. Viele Websites sind nicht optimal abgesichert: 35,9 % der Top 150.000 Sites erhalten nur ein SSL-Labs-Rating von B oder schlechter. Zwar setzt sich TLS 1.3 mit 65,4 % zunehmend durch, ältere Protokolle sind jedoch weiterhin verbreitet.

Bei den Zertifikatstypen dominieren klar DV-Zertifikate (99 %), während OV und EV trotz geringer Stückzahlen einen relevanten Anteil am Traffic abdecken. Gleichzeitig ist HTTPS kein Vertrauensindikator mehr: Rund 90 % der Phishing-Seiten nutzen ebenfalls Verschlüsselung.

Für Unternehmen bedeutet das: Zertifikatsmanagement wird zunehmend strategisch. Themen wie Automatisierung, Laufzeitmanagement und richtige Zertifikatstypen rücken in den Mittelpunkt.

Ein regulierter Markt: Wer hinter Zertifikaten steht

Der Zertifikatsmarkt ist international reguliert. Das CA/Browser Forum definiert seit 2005 verbindliche Standards (Baseline Requirements) für TLS, Code Signing und S/MIME. Certificate Authorities prüfen Identitäten, stellen Zertifikate aus und verwalten deren Lebenszyklus. Browserhersteller wiederum steuern die Darstellung von Vertrauen im Web. Mit Cloud-Anbietern verschwimmen die Rollen zunehmend, während Browser wie Chrome oder Firefox faktisch entscheiden, welchen Zertifikaten vertraut wird.

Ein Markt im Ungleichgewicht

Die Entwicklung von SSL/TLS ist stark von wenigen großen Playern geprägt. Seit SSL 1.0 (1994) und TLS 1.0 (1999) wurde das Protokoll kontinuierlich weiterentwickelt – bis TLS 1.3 als heutiger Standard. Spätestens seit 2013 hat Verschlüsselung massiv an Bedeutung gewonnen. Google und Mozilla trieben HTTPS als Standard voran, machten es zum Ranking-Faktor und entfernten unsichere Verfahren wie SHA-1.

Gleichzeitig nahm die Marktmacht großer Browserhersteller zu: Symantec verlor 2018 das Vertrauen, Apple begrenzte 2020 Zertifikatslaufzeiten auf ein Jahr, und Google sowie Apple treiben weitere Verkürzungen auf 90 bzw. sogar 47 Tage voran.

Warum kürzere Zertifikatslaufzeiten?

Kürzere Laufzeiten sollen die Sicherheit erhöhen, indem Schlüssel häufiger erneuert und Identitäten regelmäßig validiert werden.

Für Unternehmen bedeutet das deutlich mehr Aufwand:

  • statt jährlicher werden Zertifikate mehrmals pro Jahr erneuert
  • Domains müssen regelmäßig neu validiert werden
  • Prozesse werden stärker in administrative und technische Schritte getrennt
  • Organisationsvalidierungen bleiben meist jährlich

Die Herausforderung der Automatisierung

Manuelle Zertifikatsverwaltung stößt dabei schnell an Grenzen. Automatisierung wird zur Voraussetzung für Skalierbarkeit. Dabei setzen sich zwei Ansätze durch: ACME und Certificate Lifecycle Management (CLM).

ACME automatisiert insbesondere die Domain-Validierung und Zertifikatsausstellung, ist aber vor allem für öffentliche Zertifikate geeignet und deckt Themen wie interne PKI oder Governance nur teilweise ab.

CLM bietet einen ganzheitlichen Ansatz mit Discovery, Governance und Multi-CA-Management. Gleichzeitig bleiben Herausforderungen wie Integration, Kosten, DCV oder Krypto-Agilität bestehen.

Die Nameshield-Lösung: So unterstützt Sie Nameshield

Nameshield verbindet CLM, Zertifizierungsstellen und das primäre DNS in einer integrierten Plattform. Über APIs und Konnektoren werden alle Komponenten miteinander verknüpft. Als DNS-Provider ermöglicht Nameshield insbesondere eine hochautomatisierte Domain-Validierung. In Kombination mit Multi-CA-Management entsteht so eine durchgängige Automatisierung des gesamten Zertifikatslebenszyklus.

Ein Vorteil ist die Geschwindigkeit: Vorvalidierte Zertifikate können innerhalb von Minuten, oft unter einer Minute, bereitgestellt werden. Die Plattform unterstützt zudem Discovery, Policy-Management, Multi-CA-Setups und integriert sich in bestehende IT-Landschaften.

Der richtige Einstieg in ein modernes Zertifikatsmanagement

Der Einstieg beginnt mit einer klaren Abgrenzung des Umfangs: öffentliche Zertifikate oder ein vollständiger Ansatz inkl. interner PKI.Danach sollten Volumen und Verantwortlichkeiten geklärt werden – intern (Zertifikate, DNS) und extern (CAs, DNS-Provider).

Ebenso wichtig ist das Verständnis der bestehenden Prozesse:

  • Wer beantragt Zertifikate?
  • Wer stellt sie aus?
  • Wer installiert sie?

Nur mit diesem Überblick lassen sich Automatisierung und Optimierung sinnvoll umsetzen.

Webinar-Aufzeichnung

Zu diesem Thema haben wir außerdem ein Webinar durchgeführt, in dem wir die Auswirkungen verkürzter Zertifikatslaufzeiten sowie konkrete Strategien für Automatisierung und die Integration von Certificate Lifecycle Management (CLM) praxisnah erläutert haben.

Die Aufzeichnung können Sie hier anfordern.

Kontaktieren Sie uns, wenn Sie mehr über moderne Zertifikatsverwaltung, Automatisierung und CLM-Lösungen erfahren möchten oder eine individuell auf Ihr Unternehmen zugeschnittene Lösung benötigen.

Handlungsbedarf für Webseitenbetreiber: Lebensdauer von Zertifikaten wird deutlich verkürzt

Am 9. Oktober 2024 kündigte Apple im Rahmen des CA/B Forums (Certification Authority Browser Forum) an, die maximale Laufzeit öffentlicher SSL/TLS-Zertifikate bis 2027 auf 45 Tage verkürzen zu wollen. Gleichzeitig ist geplant auch die zulässige Wiederverwendungsdauer von DCV-Challenges (Domain Control Validation) bis 2027 auf 10 Tage zu reduzieren.

Diese Initiative wurde sechs Monate später erneut aufgegriffen und angepasst – wiederum durch Apple. Dabei schlug das Unternehmen vor, den ursprünglichen Zeitplan zu ändern: Die maximale Laufzeit von SSL/TLS-Zertifikaten soll künftig 47 Tage betragen, während die Gültigkeit von DCV-Challenges ab dem 15. März 2028 auf 10 Tage begrenzt wird.

  • Bis zum 15. März 2026 bleibt die maximale Laufzeit eines TLS-Zertifikats bei 398 Tagen.
  • Ab dem 15. März 2026 beträgt die maximale Laufzeit eines TLS-Zertifikats 200 Tage.
  • Ab dem 15. März 2027 verkürzt sie sich weiter auf 100 Tage.
  • Und ab dem 15. März 2029 wird die maximale Laufzeit eines TLS-Zertifikats schließlich auf 47 Tage reduziert
SSL Zertifikatsdauer

Parallel dazu werden auch die Wiederverwendungsfristen für die Domain Control Validation (DCV-Challenges) – also die Überprüfungen, die direkt in der DNS-Zone der im Zertifikat aufgeführten Domain erfolgen – an den Zertifikats-Zeitplan angepasst. Ziel ist es, bis 2029 eine maximale Frist von 10 Tagen zu erreichen.

  • Bis zum 15. März 2026 dürfen die Informationen zur Domainvalidierung maximal 398 Tage lang wiederverwendet werden.
  • Ab dem 15. März 2026 verkürzt sich diese Frist auf 200 Tage.
  • Ab dem 15. März 2027 beträgt sie nur noch 100 Tage.
  • Ab dem 15. März 2029 schließlich wird die maximale Wiederverwendungsdauer auf 10 Tage reduziert.

Angesichts dieser tiefgreifenden Veränderungen ab 2026 ist es dringend notwendig, sich rechtzeitig vorzubereiten. Die Entscheidungen des CA/B Forums werden das Umfeld der digitalen Zertifikatssicherheit nachhaltig verändern: Die Laufzeit von SSL/TLS-Zertifikaten wird weiter verkürzt, parallel dazu verschärfen sich die Regeln für die Validierung durch DCV-Challenges.

Der Erfolgsfaktor für ein zukunftssicheres Zertifikatsmanagement liegt klar in der Automatisierung: Mit nur noch 47 Tagen Laufzeit ab 2029 sind neun Erneuerungen pro Jahr und pro Zertifikat notwendig – eine manuelle Verwaltung ist damit schlicht nicht mehr realistisch.

Folgende Punkte sind für die Umstellung zu beachten:

  • Zertifikatsanbieter / Zertifizierungsstelle (CA): Setzen Sie hier auf einen vertrauenswürdiger Partner, der Sie bei allen Fragen rund um die Authentifizierung von Organisationen und Domains unterstützt – entscheidend ist hierbei das Service-Level für eine reibungslose Verwaltung. Empfehlenswert ist ein Multi-CA-Ansatz, um die Abhängigkeit von einer einzigen CA zu vermeiden – wie die jüngsten Probleme bei Entrust gezeigt haben.
  • Registrar / Primärer DNS-Provider: Die Kontrolle über den primären DNS der in den Zertifikaten aufgeführten Domains wird künftig der entscheidende Faktor für die Ausstellung sein. Jede Zertifikatsausgabe erfordert die Einrichtung eines TXT- oder CNAME-Eintrags in der betroffenen Zone. Eine direkte Anbindung zwischen CA und DNS ist daher unerlässlich.
  • CLM-Anbieter (Certificate Lifecycle Management): Das Inventarisieren des Zertifikatsbestands, das Definieren von Management-Regeln und die vollständige Automatisierung des Prozesses – von der CSR (Certificate Signing Request / Zertifikatsanforderung)-Generierung bis hin zum Deployment der Zertifikate auf den Servern – sind die zentralen Aufgaben eines CLM. Damit dies funktioniert, stützt sich das CLM auf Schnittstellen zu CAs bzw. Zertifikatsanbietern.

Gut vorbereitet sein – wie Sie die richtigen Lösungen finden

Vorbereitung heißt, die passenden Lösungen für Ihr Unternehmen zu erkennen – in den Bereichen Prozess, Technologie und Budget – und frühzeitig zu verstehen, welche Auswirkungen diese Entscheidungen haben. So sind Sie idealerweise schon im ersten Halbjahr 2026 startklar.

Nameshield – Ihr Partner für alle Herausforderungen rund um Zertifikate

Nameshield ist einzigartig auf dem Markt: Wir sind sowohl Registrar als auch Anbieter von Multi-AC-Zertifikaten. Seit über 10 Jahren kümmern wir uns darum, dass die Authentifizierung von Organisationen und Domains reibungslos funktioniert.

Wir pflegen enge Beziehungen zu den führenden Zertifizierungsstellen wie DigiCert, Sectigo und GlobalSign – und beherrschen gleichzeitig die DNS-Technologie, die für die Validierung von DCV-Challenges nötig ist. Das bedeutet: Öffentliche Zertifikate können bei uns fast sofort ausgestellt werden.

Außerdem verfügt Nameshield über Schnittstellen zu den wichtigsten CLM-Anbietern, sodass alle Komponenten der Zertifikatsverwaltung nahtlos zusammenarbeiten.

So sind wir in der Lage, frühzeitig alle Herausforderungen zu erkennen und professionell und zuverlässig zu lösen. Sprechen Sie uns bei Fragen zu dem Thema gerne jederzeit an.