Zum Hauptinhalt springen

TLS-Zertifikate: Ab 2029 nur noch 47 Tage Laufzeit – was Unternehmen jetzt tun müssen

Ab 2029 sind TLS-Zertifikate maximal 47 Tage gültig. Das CA/Browser Forum hat diesen Entscheid einstimmig getroffen – und der Stufenplan läuft bereits seit März 2026. Für Unternehmen heisst das: Wer TLS-Zertifikate noch manuell verwaltet, muss jetzt handeln. Manuelle Prozesse skalieren bei dieser Erneuerungsfrequenz nicht mehr.

Was ändert sich bei TLS-Zertifikaten?

TLS-Zertifikate (Transport Layer Security) verschlüsseln Verbindungen zwischen Servern und Browsern – sie sind die Grundlage für sichere HTTPS-Verbindungen. Bisher waren sie bis zu 398 Tage gültig. Ab 2029 sinkt diese Laufzeit auf 47 Tage. Das entspricht einer Reduktion um mehr als 88 Prozent.

Die Folge: Zertifikate müssen künftig rund 8-mal häufiger erneuert werden als heute. Wer das manuell tut, riskiert abgelaufene Zertifikate – und damit Verbindungsabbrüche, Browser-Warnungen und Serviceausfälle.

Warum verkürzt das CA/Browser Forum die Laufzeiten?

Kurze Laufzeiten erhöhen die Sicherheit, weil fehlerhaft oder betrügerisch ausgestellte Zertifikate schneller ihre Gültigkeit verlieren – ohne dass ein aufwendiges Sperrverfahren nötig ist.

Browserhersteller kritisierten seit Längerem, dass die bestehenden Widerrufsverfahren (CRL und OCSP) in der Praxis nicht zuverlässig skalieren. Ein kompromittiertes Zertifikat mit langer Laufzeit bleibt ein Risiko, das nicht schnell genug beseitigt werden kann. Die Lösung: kürzere Laufzeiten als strukturelles Sicherheitsmerkmal.

Das CA/Browser Forum – ein Zusammenschluss aus Browserherstellern und Zertifizierungsstellen (CAs), der die Standards für die Zertifikatsausstellung festlegt – hat diesen Schritt Ende 2024 einstimmig beschlossen. Zertifizierungsstellen, die durch unsichere Praxis auffallen, verlieren ihre Anerkennung in Browsern.

Der Zeitplan: Wann gilt was?

Die Verkürzung erfolgt in drei Stufen:

Die erste Stufe gilt bereits. Unternehmen, die heute noch Zertifikate mit Laufzeiten über 200 Tagen ausstellen, stossen bereits jetzt auf Probleme.

Was bedeutet das konkret für Unternehmen?

Manuelle Zertifikatserneuerung war bei Laufzeiten von über einem Jahr handhabbar. Bei 47 Tagen ist sie nicht mehr tragbar – weder operativ noch sicherheitstechnisch.

Ein abgelaufenes Zertifikat führt sofort zu sichtbaren Fehlern: Browser zeigen Sicherheitswarnungen, verschlüsselte Verbindungen brechen ab, APIs antworten nicht mehr. Die Auswirkungen treffen Endnutzer, Partner und interne Systeme gleichermassen.

Die einzige skalierbare Lösung ist Automatisierung. Protokolle wie ACME (Automatic Certificate Management Environment) ermöglichen die vollautomatische Erneuerung von TLS-Zertifikaten – vorausgesetzt, die eingesetzte PKI-Infrastruktur und alle angebundenen Systeme unterstützen dies.

Wie gelingt die Umstellung auf automatische Erneuerung?

Schritt 1: Alle betroffenen Zertifikate und Use Cases inventarisieren

Welche Dienste, Systeme und Applikationen nutzen TLS-Zertifikate? Vollständige Transparenz über den aktuellen Bestand ist die Voraussetzung für alles Weitere. Ohne ein aktuelles Inventar entstehen blinde Flecken – und damit Ausfallrisiken.

Schritt 2: Schnittstellen zu angebundenen Systemen aufnehmen

Automatisierung bedeutet, dass Zertifikate nicht nur erneuert, sondern auch in alle angebundenen Systeme eingespielt werden – Load Balancer, Web-Server, API-Gateways, VPN-Konzentratoren. Diese Schnittstellen müssen vollständig dokumentiert und auf ihre Automatisierungsfähigkeit geprüft werden.

Schritt 3: Bestehende PKI-Lösung auf Automatisierungsfähigkeit prüfen

Unterstützt die vorhandene PKI-Lösung automatische Erneuerung – etwa über ACME oder vergleichbare Protokolle? Nicht alle PKI-Lösungen tun das. Diese Analyse entscheidet über den weiteren Weg.

Schritt 4: PKI-Lösung ersetzen, wenn nötig

Wenn die bestehende Lösung Automatisierung nicht unterstützt, muss ein Ersatz evaluiert und eingeführt werden. Dieser Schritt braucht Zeit – wer ihn zu spät angeht, hat keine mehr.

Schritt 5: Applikationsverantwortliche einbinden

Automatisierung funktioniert nur end-to-end. Die zuständigen Teams für alle betroffenen Applikationen und Systeme müssen frühzeitig eingebunden sein – technisch und organisatorisch.

Schritt 6: Automatisierung einführen und intensiv testen

Vor dem produktiven Betrieb braucht es umfassende Tests: Erneuerungsszenarien, Fehlerfälle, Grenzfälle. Nur wer die Automatisierung unter kontrollierten Bedingungen geprüft hat, kann ihr im Ernstfall vertrauen.

Häufige Fragen (FAQ)

Gilt die Verkürzung auch für interne Zertifikate?

Nein. Die Entscheidung des CA/Browser Forums betrifft öffentlich vertrauenswürdige TLS-Zertifikate, also Zertifikate von öffentlichen Zertifizierungsstellen (Public CAs). Intern betriebene PKI-Systeme mit eigenen Root-CAs sind nicht direkt betroffen – können aber aus Konsistenzgründen denselben Standards folgen.

Was ist ACME und warum ist es relevant?

ACME (Automatic Certificate Management Environment) ist ein standardisiertes Protokoll (RFC 8555) für die automatische Ausstellung und Erneuerung von TLS-Zertifikaten. Es ist die etablierte technische Grundlage für Automatisierung – Let’s Encrypt hat es popularisiert, viele kommerzielle CAs unterstützen es heute ebenfalls.

Was passiert, wenn ein Zertifikat abläuft?

Browser zeigen sofort eine Sicherheitswarnung und blockieren die Verbindung. HTTPS-Verbindungen brechen ab. APIs und Dienste, die auf dem Zertifikat basieren, sind nicht mehr erreichbar – für Nutzer, Partner und interne Systeme gleichermassen.

Wie lange dauert die Einführung der Automatisierung?

Das hängt stark von der Komplexität der bestehenden Infrastruktur ab. Projekte mit vielen angebundenen Systemen und Legacy-PKI-Lösungen dauern länger. Frühzeitiger Start ist entscheidend – die nächste Stufe (100 Tage) gilt bereits ab März 2027.

Fazit

Die Verkürzung der TLS-Zertifikatslaufzeiten auf 47 Tage ist keine zukünftige Herausforderung – sie ist eine laufende. Die erste Stufe gilt seit März 2026, die nächste folgt im März 2027.

Automatische Zertifikatserneuerung ist kein optionales Upgrade. Sie ist die einzige Möglichkeit, Sicherheit und Betriebsstabilität bei dieser Erneuerungsfrequenz aufrechtzuerhalten. Mit unserer langjährigen Erfahrung in PKI-Projekten unterstützen wir Unternehmen bei der gesamten Umstellung – von der Inventarisierung über die PKI-Analyse bis zum produktiven Betrieb der Automatisierung.

Silvio Pelli, Senior IT Consultant

Silvio Pelli ist Experte für Service Management und die Einführung von Public-Cloud-Services. Er konzipiert und implementiert Service-Management-Prozesse, -Organisationen und -Tools und sorgt so für messbare Betriebsstabilität und Effizienz. Als Projektleiter steuert er komplexe Outsourcing-Vorhaben end-to-end – von der Governance über die Tool-Landschaft bis in den stabilen Betrieb.

Silvio Pelli per E-Mail kontaktieren
Linkedin Profil besuchen