Die digitale Sicherheit steht vor einem weiteren einschneidenden Wandel. Die maximale Laufzeit von SSL/TLS-Zertifikaten, die für die sichere Verschlüsselung von Daten im Internet unerlässlich sind, soll drastisch verkürzt werden. Waren bisher Standardzertifikate bis zu 398 Tage gültig, steht nun eine schrittweise Reduzierung auf nur noch 47 Tage bevor. Diese Entwicklung hat weitreichende Folgen sowohl für Unternehmen als auch für die gesamte Internetinfrastruktur. Die treibende Kraft hinter dieser Neuerung war erneut Apple, das schon im Jahr 2020 mit der Durchsetzung kürzerer Zertifikatslaufzeiten für Aufsehen sorgte.
Nachdem damals widerstrebende Zertifizierungsstellen (CAs) gezwungen wurden, sich auf maximal 398 Tage Laufzeit einzulassen, folgt nun eine noch rigorosere Änderung, die über die Jahre 2026 bis 2029 gestaffelt umgesetzt wird. Der Hintergrund für die drastische Begrenzung der Laufzeiten liegt hauptsächlich in der steigenden Sicherheitsanforderung und der Notwendigkeit, schneller auf Sicherheitsvorfälle reagieren zu können. Kürzere Lebenszyklen von Zertifikaten bedeuten, dass kompromittierte oder fehlerhafte Zertifikate schneller ungültig werden, was das Risiko von Angriffen wie Man-in-the-Middle stark reduziert. Zudem wird durch häufigere Erneuerungen die Infrastruktur regelmäßig überprüft und aktualisiert, was die Gesamtstabilität und Sicherheit des Internets stärkt. Die ungewöhnliche Zahl von 47 Tagen basiert auf praktischen Überlegungen.
Sie ermöglicht eine Zertifikatsverwaltung, die sich ungefähr an monatlichen Zyklen orientiert, aber zugleich ausreichend Pufferzeit einräumt, um Probleme bei der Erneuerung rechtzeitig zu lösen. Diese Praxis ist ein Paradigmenwechsel weg von langzeitigen Zertifikaten, die noch vor wenigen Jahren Standard waren. Das CA/Browser Forum, ein Gremium, das die Regeln für Zertifizierungsstellen festlegt, befürwortete diesen Schritt weitgehend einstimmig, was darauf hindeutet, dass die gesamte Branche die Notwendigkeit dieses Wandels erkennt. Die Umstellung wird über mehrere Phasen von 398 auf 200 Tage, dann auf 100 Tage und letztlich auf 47 Tage vollzogen. Ein solcher gestufter Ansatz soll einen sanften Übergang ermöglichen und Marktteilnehmern Zeit geben, sich bestmöglich anzupassen.
Für viele Unternehmen ist die verkürzte Gültigkeitsdauer eine Herausforderung. Die bisherigen Prozesse zur manuellen Erneuerung von Zertifikaten sind mit nur noch 47 Tagen kaum noch praktikabel. Insbesondere bei großen Infrastrukturen mit zahlreichen Servern und Anwendungen steigt der administrative Aufwand erheblich. Hier kommt das automatisierte Management über Protokolle wie ACME (Automated Certificate Management Environment) ins Spiel. ACME ermöglicht die automatische Beantragung, Ausgabe und Installation von Zertifikaten, was eine notwendige Voraussetzung für den erfolgreichen Umgang mit den verkürzten Laufzeiten ist.
Trotz der Vorteile ist der aktuelle Stand der ACME-Unterstützung noch ausbaufähig. Beispielsweise bietet der Apache-Webserver zwar seit einiger Zeit Unterstützung über das Modul mod_md an, allerdings stellt die Umsetzung noch eine Hürde dar. Andere Webserver, wie Nginx, bieten bislang keine native ACME-Unterstützung, was bedeutet, dass Unternehmen auf Drittanbietertools oder Workarounds zurückgreifen müssen. Ein Lob verdient sich hier der Caddy-Webserver, der mit nativer ACME-Unterstützung die Automatisierung stark erleichtert. Während moderne und gut gepflegte Infrastruktur von der Einführung kürzerer Zertifikatlaufzeiten profitieren kann, stehen Unternehmen mit Legacy-Systemen und älterer Hardware vor der Herausforderung, ihre Systeme entweder zu modernisieren oder ehrgeizige Umstellungsstrategien zu entwickeln.
Manche Organisationen erwägen bereits den Umstieg auf private Zertifizierungsstellen, um interne Abläufe besser steuern und automatisieren zu können. Dieser Schritt bringt jedoch zusätzliche Komplexität mit sich und sollte sorgfältig geplant werden. Parallel zur Reduzierung der Zertifikatslaufzeiten muss auch das Ökosystem der Certificate Transparency (CT) Logs verbessert werden. CT-Logs dienen zur öffentlichen Nachverfolgbarkeit von ausgestellten Zertifikaten und spielen eine wichtige Rolle bei der Erkennung von Fehlverhalten oder Missbrauch. Bereits jetzt sind viele der bestehenden Logs stark ausgelastet, teils kam es sogar zu Ausfällen.
Die erwartete Zunahme kurzlebiger Zertifikate wird die Belastung weiter erhöhen. Anbieter wie Let’s Encrypt planen sogar, Zertifikate mit einer Gültigkeitsdauer von nur sechs Tagen herauszugeben, was die Anforderungen nochmals verschärft. Die Zunahme kurzlebiger Zertifikate und die steigende Anzahl an Einträgen in CT-Logs erfordern also schnelle und nachhaltige Investitionen in Robustheit und Skalierbarkeit dieser Systeme. Ein weiteres Problem stellt die mangelnde Redundanz dar, wodurch einzelne Ausfälle zu erheblichen Störungen führen können. Anbieter arbeiten an Lösungen, die eine bessere Verteilung und Lastverteilung mit sich bringen.
Neben den technischen Herausforderungen bringt die Umstellung auch organisatorische und sicherheitsrelevante Implikationen mit sich. Administratoren müssen ihre Monitoring- und Alarmierungssysteme anpassen, um die verkürzten Erneuerungsintervalle zu berücksichtigen. Fehlerhafte oder verspätete Erneuerungen könnten sonst schnell zu Dienstunterbrechungen führen. Ebenso wichtig ist die Schulung und Sensibilisierung der Teams, damit neue Prozesse reibungslos implementiert werden können. Darüber hinaus gehen die neuen Regelungen Hand in Hand mit anderen Sicherheitsinitiativen.
So wird beispielsweise ab März 2025 die Multi-Perspective Issuance Corroboration (MPIC) für CAs verbindlich, um gefälschte Zertifikate aufgrund von BGP-Angriffen zu verhindern. MPIC basiert auf der Überprüfung von Zertifikatsanfragen aus unterschiedlichen Netzwerkperspektiven, um Manipulationen zu erkennen und zu verhindern. Ab September 2026 sollen sogar mindestens fünf Netzwerkperspektiven bei der Ausstellung von Zertifikaten herangezogen werden, um die Sicherheit weiter zu erhöhen. Auch die zunehmende Bedeutung von DNSSEC wird durch neue Anforderungen des CA/Browser Forums gestärkt. Künftig müssen Zertifizierungsstellen DNSSEC bei der Ausstellung und Validierung von Zertifikaten berücksichtigen, was eine zusätzliche Sicherheitsebene bei der Domainkontrollprüfung einführt.
Diese Maßnahmen sind Teil eines umfassenden Sicherheitskonzepts, das auf viele Ebenen setzt, um das Vertrauen in digitale Identitäten zu stärken. Für Unternehmen bedeutet das alles vor allem eines: Handlungsbedarf. Wer weiterhin auf lange Laufzeiten und manuelle Prozesse setzt, läuft spätestens ab 2029 Gefahr, Zertifikate nicht rechtzeitig zu erneuern, was unmittelbar zu Ausfällen und Sicherheitsrisiken führen kann. Die Implementierung von ACME und die Modernisierung der Infrastruktur sind deshalb keine optionalen Maßnahmen mehr, sondern essenzielle Bestandteile einer zukunftsfähigen IT-Strategie. Zusammenfassend lässt sich sagen, dass die geplante Reduzierung der Zertifikatslaufzeiten auf nur 47 Tage ein signifikanter Schritt zur Erhöhung der Sicherheit im Internet ist.
Sie stellt Organisationen vor technische, organisatorische und strategische Herausforderungen, bietet aber gleichzeitig die Chance, Abläufe zu automatisieren und die eigene Sicherheitsarchitektur zu stärken. Die kommenden Jahre werden zeigen, wie schnell und effektiv die Branche diesen Wandel vollzieht und wie sich das Ökosystem der Zertifikatsinfrastruktur weiterentwickelt. Für jeden, der im Bereich IT-Sicherheit oder Webbetrieb tätig ist, ist es jetzt mehr denn je an der Zeit, sich mit diesen Veränderungen auseinanderzusetzen und rechtzeitig die notwendigen Anpassungen vorzunehmen.
