Die Gültigkeit von SSL-Zertifikaten ändert sich, und der Wandel hat bereits begonnen. Die Branche bewegt sich weg von langlebigen Zertifikaten hin zu deutlich kürzeren Laufzeiten, was einen anderen Ansatz im Umgang mit SSL/TLS erfordert.

Dies ist keine geringfügige Aktualisierung. Kürzere SSL-Gültigkeitszeiträume erhöhen die Häufigkeit, mit der Sie Zertifikate ausstellen, Domains validieren und Verlängerungen durchführen. Prozesse, die auf Jahreszyklen ausgelegt waren, funktionieren unter engeren Zeitvorgaben nicht mehr.
Dieser Artikel erklärt, was sich geändert hat, warum die Branche diesen Schritt unternommen hat und was das in der Praxis bedeutet. Sie erfahren außerdem, wie Sie diesen Wandel mit Tools bewältigen können, die speziell für die neue Ära der SSL-Automatisierung entwickelt wurden.
Inhaltsverzeichnis
- Zeitplan zur SSL-Zertifikatsgültigkeit: Was sich geändert hat
- Warum SSL-Zertifikatslaufzeiten kürzer werden
- Was kürzere SSL-Gültigkeit in der Praxis bedeutet
- Kürzere Laufzeiten kommen auch für Code Signing
- Wie Sie sich auf die bevorstehenden SSL-Gültigkeitsänderungen vorbereiten
Zeitplan zur SSL-Zertifikatsgültigkeit: Was sich geändert hat
Das CA/Browser Forum hat einen festen Zeitplan festgelegt, der den maximalen Gültigkeitszeitraum für SSL/TLS-Zertifikate reduziert.
- Bis zum 14. März 2026: Maximale Gültigkeit betrug ~398 Tage
- Ab dem 15. März 2026: Maximale Gültigkeit beträgt 200 Tage
- Ab dem 15. März 2027: Maximale Gültigkeit beträgt 100 Tage
- Ab dem 15. März 2029: Maximale Gültigkeit beträgt 47 Tage
Diese Grenzen gelten für alle Zertifikate, die von öffentlichen Zertifizierungsstellen (CA) ausgestellt werden.
Auch die Wiederverwendungszeiträume für Validierungen ändern sich
Wiederverwendungszeiträume für Validierungen legen fest, wie lange eine CA auf eine zuvor abgeschlossene Domain-Validierung zurückgreifen kann, wenn sie ein neues SSL-Zertifikat ausstellt. Vereinfacht gesagt steuert die Gültigkeit, wie lange ein Zertifikat aktiv bleibt, während die Wiederverwendung der Validierung steuert, wie lange ein Nachweis der Domain-Inhaberschaft für die Ausstellung neuer Zertifikate akzeptabel bleibt. Das sind zwei verschiedene Ebenen des Prozesses.
Gemäß den neuen Regeln des CA/Browser Forums sinken die Wiederverwendungszeiträume für Validierungen parallel zu den Zertifikatslaufzeiten. Das bedeutet, dass CAs die Domain-Kontrolle häufiger überprüfen müssen, anstatt sich auf ältere Validierungsdaten zu stützen. Bis 2029 sinken die Wiederverwendungszeiträume auf bis zu 10 Tage, was dazu führt, dass die Validierung fast jedes Mal stattfinden muss, wenn ein Zertifikat ausgestellt wird.
- Ab dem 15. März 2026: Wiederverwendung der Validierung ist auf 200 Tage begrenzt
- Ab dem 15. März 2027: Reduziert auf 100 Tage
- Ab dem 15. März 2029: Reduziert auf 10 Tage
Sie müssen Zertifikate häufiger erneuern und Domains öfter revalidieren.
Warum SSL-Zertifikatslaufzeiten kürzer werden
Die Branche begrenzt die SSL-Gültigkeit, um widerzuspiegeln, wie schnell sich Dinge in der modernen Infrastruktur verändern. Zertifikate liegen nicht mehr jahrelang auf statischen Servern. Domains wechseln zwischen Anbietern, Konfigurationen werden aktualisiert, und Eigentümerschaft oder Kontrolle können sich viel schneller als früher verschieben.
Gleichzeitig verlässt sich das Web auf Zertifikate als Vertrauensquelle. Wenn dieses Vertrauen auf veralteten Informationen beruht, wird es weniger zuverlässig. Kürzere Zertifikatslaufzeiten und Wiederverwendungszeiträume für Validierungen halten die Zertifikatsdaten näher an den realen Bedingungen, reduzieren die Risikoexposition und treiben das Zertifikatsmanagement hin zu schnelleren, besser kontrollierten Prozessen.
- Zertifikate sind eine Momentaufnahme — SSL-Zertifikate erfassen Domain-Inhaberschaft, Infrastruktur und Kontaktdaten, die zum Zeitpunkt der Ausstellung korrekt waren, sich aber im Laufe der Zeit verschieben können. Kürzere Laufzeiten bedeuten, dass veraltete Informationen weniger lang als vertrauenswürdig gelten.
- Validierungsdaten müssen aktuell bleiben — CAs benötigen aktuelle Domain-Inhaberschaftsdaten, um Zertifikate korrekt auszustellen. Die Wiederverwendung alter Validierungsdaten erhöht das Risiko, Zertifikate auf Basis von Informationen auszustellen, die nicht mehr zutreffen. Häufigere Überprüfungen halten den Prozess zuverlässig.
- Kürzere Laufzeiten begrenzen das Sicherheitsrisiko — Jedes falsch ausgestellte Zertifikat oder jeder kompromittierte private Schlüssel kann nur so lange Schaden anrichten, wie er gültig bleibt. Schnelle Erneuerungszyklen verringern dieses Zeitfenster und begrenzen die Folgen von Vorfällen, die sich oft nicht vollständig verhindern lassen.
- Manuelle Verwaltung ist nicht skalierbar — Wenn Zertifikate alle paar Wochen oder Monate ablaufen, können manuelle Erneuerungsprozesse einfach nicht mithalten. Automatisierung hört auf, optional zu sein – sie wird zur einzigen realistischen Möglichkeit, den Zyklus konsistent zu verwalten.

Was kürzere SSL-Gültigkeit in der Praxis bedeutet
Die neuen Zertifikatszeiträume legen Schwachstellen darin offen, wie Zertifikate in realer Infrastruktur verfolgt, ausgestellt und bereitgestellt werden.
Verlängerungen werden zur operativen Belastung
Ein einzelnes Zertifikat erforderte früher einmal im Jahr Aufmerksamkeit. Jetzt erfordert dasselbe Zertifikat im gleichen Zeitraum drei, sechs oder sogar zehn Mal eine Aktion.
Nehmen Sie ein typisches Setup:
- ein Zertifikat auf der Hauptdomain
- eines auf der API
- eines auf der Staging-Umgebung
- eines auf internen Diensten
Das sind bereits 4+ Zertifikate. Bei kürzeren Laufzeiten werden Sie 20-40 Verlängerungsereignisse durchführen, jedes mit Ausstellungs-, Validierungs- und Bereitstellungsschritten. Hier beginnt die Mathematik gegen Sie zu arbeiten.
Validierung wird mehr Aufmerksamkeit erfordern
So wird eine typische Verlängerung aussehen, wenn die neuen Regeln in Kraft treten:
- Die Verlängerung startet und erwartet eine automatische Ausstellung
- Die CA verlangt eine neue Domain-Validierung
- DNS- oder HTTP-Validierungseinträge müssen aktualisiert werden
- Die Deployment-Pipeline stockt, bis die Validierung abgeschlossen ist
Skalieren Sie das auf Dutzende von Domains und mehrere Umgebungen, und Verlängerungen hören auf, Routine zu sein. Sie werden unvorhersehbar, und in Setups, die auf CI/CD-Pipelines, automatisierten Deployments oder Infrastructure-as-Code aufgebaut sind, kann ein einziger nicht automatisierter Validierungsschritt alles aufhalten.
Manuelle Nachverfolgung versagt bei Überschneidungen
Tabellenkalkulationen, Kalendererinnerungen und temporäre Prozesse werden schwieriger zu pflegen, je häufiger Verlängerungen anfallen.
Beispiel:
- Zertifikat A läuft in 60 Tagen ab
- Zertifikat B läuft in 45 Tagen ab
- Zertifikat C läuft in 30 Tagen ab
Wiederholen Sie das nun über Dutzende von Zertifikaten. Erinnerungen häufen sich. Fristen überschneiden sich. Und bevor Sie es merken, reagieren Sie nur noch, anstatt aktiv zu verwalten. Wenn viele Ereignisse gleichzeitig konkurrieren, ist es sehr wahrscheinlich, dass eine Zertifikatsfrist versäumt wird.
Zertifikate geraten aus dem Blickfeld
Die meisten Teams unterschätzen, wie viele Zertifikate sie tatsächlich betreiben. Eine reale Umgebung umfasst oft:
- CDN-Zertifikat (Edge)
- Load-Balancer-Zertifikat
- Origin-Server-Zertifikat
- Zertifikate für interne Dienste
- Drittanbieter-Integrationen
Jedes hat seinen eigenen Lebenszyklus. Ohne Erkennung oder Inventarisierung verlieren Sie den Überblick. Dies führt zu einem häufigen Fehlermuster:
- „Die Hauptseite funktioniert, aber die API wirft SSL-Fehler“.
- „Das Frontend ist in Ordnung, das Backend-Zertifikat ist abgelaufen“.
Lücken bei der Bereitstellung erzeugen falsches Vertrauen
Ein Zertifikat kann erfolgreich ausgestellt werden und dennoch nie an der richtigen Stelle ankommen. Ein Deployment-Skript läuft nur teilweise durch, der Load Balancer wird aktualisiert, aber der Origin-Server nicht, und plötzlich wird das Erlebnis inkonsistent. Einige Nutzer verbinden sich problemlos, während andere auf Zertifikatsfehler stoßen. Diese Fehler gehören zu den schwierigsten zu debuggenden, weil sie sich nicht einheitlich zeigen.
Ab einer bestimmten Größenordnung passt das Zertifikatsmanagement nicht mehr in eine Checkliste. Es braucht ein Inventar, um zu verfolgen, was vorhanden ist, Monitoring, um ablaufende Zertifikate zu erkennen, Automatisierung für Verlängerungen und eine zuverlässige Bereitstellung, um sicherzustellen, dass Zertifikate die richtigen Stellen erreichen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!
Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10
Kürzere Laufzeiten kommen auch für Code Signing
Code-Signing-Zertifikate entwickeln sich in dieselbe Richtung wie SSL: kürzere Gültigkeitszeiträume und strengere Kontrollen rund um die Speicherung und Verwaltung privater Schlüssel.
DigiCert und GoGetSSL stellen Code-Signing-Zertifikate jetzt nur noch für ein Jahr aus, wobei Kunden entweder ihr eigenes Hardware-Sicherheitsmodul verwenden oder ein physisches Token bestellen.
Sectigo folgt einem ähnlichen Modell – ein Jahr bei Verwendung eines Tokens, aber Optionen für ein, zwei oder drei Jahre werden verfügbar, wenn Sie Schlüssel über Ihr eigenes HSM verwalten, beispielsweise einen YubiKey.
Das Muster ist einheitlich: Längere Gültigkeit ist direkt an stärkere Schlüsselkontrolle geknüpft. Je strenger die Speicheranforderungen, desto mehr Flexibilität erhält ein Kunde bei der Laufzeit. Es spiegelt dieselbe Logik wider, die die SSL-Änderungen antreibt. Engere Laufzeiten und besseres Schlüsselmanagement reduzieren das Expositionsfenster und stärken das Vertrauen in signierte Software insgesamt.
Wie Sie sich auf die bevorstehenden SSL-Gültigkeitsänderungen vorbereiten
Kürzere Zertifikatsgültigkeit erfordert strukturierte Prozesse. Der richtige Ansatz hängt von Umfang und Komplexität ab.
ACME: Am besten für kontinuierliche Automatisierung
ACME (Automated Certificate Management Environment) ist ein standardisiertes Protokoll, das es Servern und Anwendungen ermöglicht, SSL/TLS-Zertifikate automatisch anzufordern, zu validieren, auszustellen und zu erneuern. Anstatt auf manuelle Schritte wie CSR-Generierung, E-Mail-Genehmigungen oder Datei-Uploads angewiesen zu sein, interagieren Systeme direkt mit einer CA über API-gesteuerte Workflows.
In der Praxis verwalten ACME-Zertifikate den gesamten Lebenszyklus. Sie weisen die Domain-Kontrolle mithilfe von HTTP- oder DNS-Challenges nach, rufen das Zertifikat ab, installieren es und erneuern es vor dem Ablauf – ohne menschliches Eingreifen.
Es eignet sich am besten für Umgebungen, in denen:
- sich die Infrastruktur häufig ändert (Cloud, Container, Microservices)
- Deployments über CI/CD-Pipelines laufen
- mehrere Domains oder Dienste kontinuierliche Zertifikatsaktualisierungen erfordern
RapidSSL AutoInstall: Vereinfachte Automatisierung für Standard-Server-Setups
AutoInstall SSL vereinfacht das Zertifikatsmanagement in serverbasierten Umgebungen. Anstatt manuelle Uploads, Konfigurationsänderungen und wiederholte Installationsschritte zu erfordern, integriert es sich direkt in Hosting-Panels, um die Bereitstellung automatisch zu übernehmen.
In der Praxis funktioniert es innerhalb von Plattformen wie cPanel, Plesk und ähnlichen Hosting-Panels, bei denen Zertifikate auf Server-Ebene verwaltet werden. Einmal konfiguriert, kann es Ausstellung und Verlängerung übernehmen und dabei sicherstellen, dass Zertifikate korrekt installiert und angewendet werden – ohne manuelle Eingriffe bei jedem Zyklus.
Es eignet sich am besten für Setups, bei denen:
- Server auf Control Panels oder verwalteten Hosting-Stacks angewiesen sind
- das Zertifikatsmanagement auf Server-Ebene stattfindet und nicht über benutzerdefinierte Infrastruktur
- Teams repetitive Einrichtungsarbeiten reduzieren möchten, ohne ihren Workflow auf API-gesteuerte Automatisierung umzustellen.
DigiCert CertCentral TLS Manager: Am besten für wachsende Teams
CertCentral TLS Manager ist eine zentrale Plattform zur Verwaltung des gesamten Lebenszyklus von SSL-Zertifikaten in einer Organisation. Sie bietet eine einzige Oberfläche zum Ausstellen, Verfolgen, Erneuern und Ersetzen von Zertifikaten an einem Ort.
Sie können Ablaufdaten überwachen, bereits in der Infrastruktur bereitgestellte Zertifikate erkennen und Verlängerungen verwalten. Es unterstützt auch Automatisierung über APIs und ACME-Integrationen, sodass Zertifikate ohne manuellen Eingriff ausgestellt und erneuert werden können, während die zentrale Kontrolle erhalten bleibt.
Es eignet sich am besten für Umgebungen, in denen:
- mehrere Teams oder Systeme Zertifikate anfordern und verwalten
- das Zertifikatsinventar nicht mehr vollständig einsehbar ist
- Verlängerungszyklen sich über verschiedene Dienste hinweg zu überschneiden beginnen
- zentrale Nachverfolgung und Richtlinienkontrolle notwendig werden
CertCentral ersetzt keine infrastrukturelle Automatisierung wie ACME. Stattdessen fügt es eine Kontrollschicht darüber hinzu.
DigiCert Trust Lifecycle Manager: Am besten für Enterprise-Maßstab
Trust Lifecycle Manager erweitert das Zertifikatsmanagement über öffentliches SSL/TLS hinaus und verwandelt es in ein einheitliches System zur Verwaltung von Vertrauen in der gesamten Organisation. Anstatt Zertifikate in isolierten Tools zu verwalten, bringt es öffentliche Zertifikate, private PKI und interne Identitäten in ein kontrolliertes Framework.
Es integriert sich auch in Enterprise-Infrastruktur wie Identitätssysteme, Cloud-Plattformen und DevOps-Pipelines, sodass Zertifikatsoperationen Teil bestehender Workflows werden und kein separater Prozess sind.
Es eignet sich am besten für Umgebungen, in denen:
- die Zertifikatsnutzung öffentliche und private Systeme umfasst
- mehrere Teams oder Abteilungen ihre eigenen Zertifikate verwalten
- die Infrastruktur Cloud-, On-Premises- und Hybrid-Setups umfasst
- Governance-, Compliance- und Audit-Anforderungen eine Rolle spielen
In diesem Maßstab ist die Herausforderung nicht nur die Verlängerung, sondern Sichtbarkeit, Kontrolle und Konsistenz über Hunderte oder Tausende von Zertifikaten hinweg.
Abschließende Gedanken
Die Ära des „Einrichten und Vergessen“ bei der Web-Sicherheit ist offiziell vorbei. Wir bewegen uns weg von Zertifikaten, die jahrelang gültig sind, hin zu einer Welt, in der sie in nur wenigen Wochen ablaufen.
Die Uhr tickt bereits. Unternehmen, die diese Aktualisierungen noch manuell bewältigen wollen, werden den Druck spüren, wenn sich die Fristen häufen. Auf der anderen Seite werden Teams, die einen reibungsloseren, stärker automatisierten Arbeitsablauf annehmen, die Veränderung kaum bemerken. Kürzere Laufzeiten sind die neue Realität, und der einzige Weg nach vorne ist, aufzuhören zu reagieren und anzufangen zu optimieren.
SSL Dragon bietet Automatisierungslösungen, die zu jedem Setup passen – von einfachen Server-Umgebungen bis hin zu komplexen, großmaßstäblichen Infrastrukturen. Ob Sie ACME-protokollbasierte Automatisierung, optimierte Bereitstellung oder vollständiges Lifecycle-Management benötigen – Sie können den Ansatz wählen, der Ihren Anforderungen entspricht, und Ihre Zertifikate unter Kontrolle halten, während sich die Erneuerungszyklen beschleunigen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10






