Die G\u00fcltigkeitsdauer von Zertifikaten in der Web-PKI wird in den kommenden Jahren massiv reduziert. Was fr\u00fcher einmal Jahre betrug, wird bald nur noch wenige Wochen g\u00fcltig sein. F\u00fcr Unternehmen bedeutet das: deutlich k\u00fcrzere Erneuerungszyklen, neue Risiken und ein starker Druck zur Automatisierung.<\/p>\n
Diese Entwicklung ist kein vor\u00fcbergehender Trend, sondern Ausdruck eines Paradigmenwechsels: Die Web-PKI wird dynamischer, agiler, aber auch anf\u00e4lliger f\u00fcr Fehler, wenn Prozesse nicht rechtzeitig angepasst werden. Wer k\u00fcnftig weiterhin eine zuverl\u00e4ssige TLS-Verschl\u00fcsselung ohne Ausf\u00e4lle sicherstellen will, muss seine Zertifikatsstrategie schon jetzt \u00fcberdenken und modernisieren.<\/p>\n
Die bevorstehenden \u00c4nderungen der Zertifikatslaufzeiten wurden ma\u00dfgeblich von Apple initiiert und durch das CA\/Browser-Forum (CAB Forum)<\/a> diskutiert. Mit dem sogenannten Ballot SC-81 liegt ein Zeitplan vor, der gravierende Auswirkungen auf alle TLS-Zertifikatsinhaber hat:<\/p>\n Die wichtigsten Fristen im \u00dcberblick:<\/strong><\/p>\n \u00a015. M\u00e4rz 2026<\/strong> \u2022 15. M\u00e4rz 2027<\/strong> \u2022 15. M\u00e4rz 2029<\/strong> Zus\u00e4tzlich wird auch die maximale G\u00fcltigkeitsdauer f\u00fcr Unternehmensinformationen (OV\/EV) von derzeit 825 Tagen auf 398 Tage verk\u00fcrzt.<\/p>\n Die Antwort ist so klar wie unbequem: Sicherheit und Geschwindigkeit.<\/strong><\/p>\n \u2022 Kompromittierte Zertifikate<\/strong> sollen nicht mehr monatelang aktiv bleiben k\u00f6nnen. Je k\u00fcrzer die G\u00fcltigkeitsdauer von Zertifikaten, desto intensiver wird der operative Aufwand, zumindest ohne entsprechende Automatisierung. Diese Punkte sollten Sie unbedingt ber\u00fccksichtigen:<\/p>\n H\u00e4ufigere Erneuerungen<\/strong> Weniger Zeitpuffer<\/strong> API-gest\u00fctzte Prozesse<\/strong> Stammdaten-Governance<\/strong> 1. Bestandsaufnahme: Zertifikate und Zust\u00e4ndigkeiten erfassen<\/strong> 2. Automatisierung einf\u00fchren und ACME-Standards nutzen<\/strong> 3. Validierungsprozesse an die neuen Laufzeiten anpassen<\/strong> 4. Deployments zuverl\u00e4ssig und ausfallsicher gestalten<\/strong> 5. Monitoring und Warnsysteme etablieren<\/strong> Unsere Gesch\u00e4ftsf\u00fchrerin Patrycja Schrenk spricht im Podcast \u201eheise meets \u2026\u201c \u00fcber das Thema \u201eDigitale Sicherheit: Warum Zertifikate Automatisierung ben\u00f6tigen\u201c. Jetzt reinh\u00f6ren bei heise online \u2013 Zum Podcast<\/a><\/p>\n Die sinkende G\u00fcltigkeitsdauer von Zertifikaten ist kein vor\u00fcbergehendes Ph\u00e4nomen, sie ist der neue Standard. Unternehmen, die ihre Zertifikatsstrategie jetzt anpassen, profitieren doppelt: Sie erh\u00f6hen ihre IT-Sicherheit und schaffen gleichzeitig eine skalierbare Infrastruktur, die zuk\u00fcnftigen Anforderungen gewachsen ist. Wir unterst\u00fctzen Sie bei der Einf\u00fchrung von ACME<\/a>, bei der Zertifikatsverwaltung sowie bei der Automatisierung mit L\u00f6sungen wie KeyTalk<\/a> oder einer Managed PKI.<\/p>\n <\/p>\n
\no Max. G\u00fcltigkeitsdauer: 200 Tage
\no Daten-Wiederverwendung: 200 Tage<\/p>\n
\no Max. G\u00fcltigkeitsdauer: 100 Tage
\no Daten-Wiederverwendung: 100 Tage<\/p>\n
\no Max. G\u00fcltigkeitsdauer: 47 Tage
\no Daten-Wiederverwendung: 10 Tage<\/p>\nWarum kommt es zu dieser drastischen Verk\u00fcrzung?<\/h2>\n
\n\u2022 Revocation-Mechanismen<\/strong> gelten nach wie vor als unzuverl\u00e4ssig, deshalb will man durch kurze Laufzeiten das Risiko eind\u00e4mmen.
\n\u2022 Technologische Innovation<\/strong> schreitet schneller voran: K\u00fcrzere Zyklen erm\u00f6glichen flexiblere Anpassung an neue Standards und Bedrohungen.
\n\u2022 Automatisierung<\/strong> wird Standard, manuelle Prozesse sind den verk\u00fcrzten Laufzeiten schlicht nicht mehr gewachsen.
\nStandards wie ACME<\/a> (Automated Certificate Management Environment) und ARI (Automatic Renewal Information) bieten heute schon die n\u00f6tigen Schnittstellen, um diese Anforderungen zu erf\u00fcllen.<\/p>\nWas bedeutet das operativ f\u00fcr Ihr Unternehmen?<\/h2>\n
\nZertifikate m\u00fcssen k\u00fcnftig in viel k\u00fcrzeren Abst\u00e4nden erneuert werden. Ein manueller Prozess ist sp\u00e4testens ab 2027 unrealistisch.<\/p>\n
\nDie Zeit zwischen Ausstellung und Ablauf, also Ihre \u201eLead-Time\u201c \u2013 wird minimal. Ausf\u00e4lle drohen bei jeder Verz\u00f6gerung im Erneuerungsprozess.<\/p>\n
\nAutomatisierte Ausstellung, Validierung und Deployment sind keine Option mehr, sie sind Pflicht.<\/p>\n
\nUnternehmensdaten (bei OV\/EV-Zertifikaten) m\u00fcssen alle 398 Tage revalidiert werden, inklusive Domainkontrolle und ggf. Handelsregisterpr\u00fcfungen.<\/p>\nKonkrete To-dos \u2013 So stellen Sie Ihr Zertifikatsmanagement jetzt um<\/h2>\n
\nDer erste Schritt ist eine vollst\u00e4ndige Inventarisierung aller eingesetzten TLS-Zertifikate, sowohl \u00f6ffentlicher als auch privater. Dabei sollten nicht nur alle Zertifikate, sondern auch die zugeh\u00f6rigen Deploy-Pfade (z.\u202fB. Webserver, Load-Balancer, Proxies) und die verantwortlichen Personen oder Teams erfasst werden. Nur mit einem vollst\u00e4ndigen \u00dcberblick \u00fcber den Zertifikatsbestand und klare Verantwortlichkeiten lassen sich sp\u00e4tere Prozesse effizient automatisieren.<\/p>\n
\nIm zweiten Schritt sollten Unternehmen die Zertifikatsverwaltung konsequent automatisieren. Daf\u00fcr bietet sich insbesondere das ACME-Protokoll an, das von vielen Zertifizierungsstellen unterst\u00fctzt wird. ACME-f\u00e4hige Clients sollten auf den relevanten Systemen ausgerollt und so konfiguriert werden, dass Zertifikate automatisch ab einem Drittel der verbleibenden Laufzeit erneuert werden. Erg\u00e4nzend kann ACME ARI eingebunden werden, um automatisierte Hinweise zur bevorstehenden Erneuerung (\u201eRenewal Hints\u201c) zu erhalten und entsprechend zu reagieren.<\/p>\n
\nMit den neuen Fristen f\u00fcr Daten-Wiederverwendungen und Stammdaten m\u00fcssen auch die internen Validierungsprozesse \u00fcberarbeitet werden. F\u00fcr Domain- und Organisations-Validierungen empfiehlt sich die Einrichtung eines automatisierten Revalidierungszyklus, je nach Stichtag in einem 200-, 100- oder sogar 10-Tage-Rhythmus. Gleichzeitig ist sicherzustellen, dass OV- und EV-Stammdaten sp\u00e4testens alle 398 Tage aktualisiert und \u00fcberpr\u00fcft werden. Diese Zyklen sollten dokumentiert und in bestehende IT- oder Compliance-Prozesse integriert werden.<\/p>\n
\nDie Erneuerung eines Zertifikats allein reicht nicht, es muss auch sicher, automatisiert und ohne Downtime in die Infrastruktur eingespielt werden. Daher sollten Unternehmen ihre Deployment-Pipeline \u00fcberpr\u00fcfen und ggf. anpassen. Best Practices umfassen \u201estaged renewals\u201c (z.\u202fB. Erneuerung in Dev-, Staging- und dann Produktivumgebungen), Zero-Downtime-Rollouts sowie automatisierte Reloads von Zertifikaten in Webservern, Proxies und Ingress-Controllern. Ziel ist ein stabiler, unterbrechungsfreier Betrieb trotz h\u00e4ufigerer Zertifikatswechsel.<\/p>\n
\nEin zuverl\u00e4ssiges Monitoring ist entscheidend, um Zertifikatsausf\u00e4lle zu vermeiden. Daf\u00fcr sollten Ablaufwarnungen eingerichtet werden, idealerweise bei 30, 14, 7 und 3 Tagen vor Ablauf eines Zertifikats. Zus\u00e4tzlich k\u00f6nnen Service Level Objectives (SLOs) definiert werden, die z.\u202fB. eine rechtzeitige Erneuerung sicherstellen. Auch synthetische TLS-Checks, also simulierte Tests der Erreichbarkeit \u00fcber HTTPS, sind sinnvoll, um die Funktionsf\u00e4higkeit der Zertifikate regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen und Probleme fr\u00fchzeitig zu erkennen.<\/p>\nPodcast-Tipp mit unserer Gesch\u00e4ftsf\u00fchrerin Patrycja Schrenk<\/h2>\n
K\u00fcrzere Laufzeiten? Mit der richtigen Vorbereitung kein Problem!<\/h2>\n
\nWer inventarisiert, automatisiert und Governance fest verankert, wird auch bei 47-Tage-Zertifikaten keine Ausf\u00e4lle erleben.<\/p>\n