Neuigkeiten

Der Countdown zur 47-Tage-Gültigkeit von SSL/TLS-Zertifikaten läuft

Indeno GmbH

Indeno GmbH

4 min read
Der Countdown zur 47-Tage-Gültigkeit von SSL/TLS-Zertifikaten läuft
Photo by Peter Conrad / Unsplash

Die Lebensdauer von SSL/TLS-Zertifikaten wird in den kommenden Jahren deutlich verkürzt. Was bislang als technische Nebensächlichkeit galt, entwickelt sich zu einer Herausforderung für Unternehmen weltweit. Mit der Verabschiedung des Ballots SC-081v3 durch das CA/Browser Forum im April 2025 wurde ein Prozess in Gang gesetzt, der die maximale Gültigkeit öffentlich vertrauenswürdiger TLS-Zertifikate schrittweise auf nur noch 47 Tage reduziert – mit einem geplanten Abschluss im März 2029.

Voting Period Begins: SC-081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods
Google Groups

Diese Entscheidung wurde maßgeblich von Apple initiiert und von Google, Mozilla und Sectigo unterstützt. Sie stellt nicht nur eine Anpassung an gestiegene Sicherheitsanforderungen dar, sondern bedeutet einen grundlegenden Wandel im Umgang mit digitalen Zertifikaten, deren Verwaltung und Validierung.

Die Hintergründe der Initiative

Digitale Zertifikate sind das Rückgrat sicherer sehr vieler Systeme. Sie ermöglichen verschlüsselte Kommunikation und bestätigen die Authentizität von Webseiten. Ihre Gültigkeit beruht jedoch auf einem zentralen Prinzip: Sie sind immer nur eine Momentaufnahme der zum Ausstellungszeitpunkt überprüften Informationen. Je länger ein Zertifikat gültig ist, desto höher ist das Risiko, dass sich diese Informationen ändern – etwa durch Domainverkäufe, abgelaufene Eigentumsrechte oder kompromittierte private Schlüssel.

Das CA/Browser Forum sieht daher in kürzeren Gültigkeitszeiträumen einen wirksamen Weg, um die Sicherheit im Web-PKI-Ökosystem nachhaltig zu stärken. Das Ziel ist es, die Wahrscheinlichkeit zu verringern, dass veraltete oder fehlerhafte Zertifikatsinformationen über einen längeren Zeitraum hinweg gültig bleiben. Gleichzeitig sollen diese Änderungen die Qualität von Zertifizierungsprozessen verbessern und die Grundlage für eine konsequente Automatisierung schaffen.

Zeitplan für die Umstellung

Die Umstellung erfolgt in mehreren Etappen, die ausreichend Zeit schaffen soll, Infrastrukturen anzupassen. Ab dem 15. März 2026 wird die maximale Gültigkeit von Zertifikaten zunächst auf 200 Tage verkürzt. Ein Jahr später, im März 2027, folgt eine weitere Reduktion auf 100 Tage. Im März 2029 tritt schließlich die entscheidende Änderung in Kraft: Ab diesem Zeitpunkt dürfen öffentliche TLS-Zertifikate nicht länger als 47 Tage gültig sein.

Zusätzlich zur Laufzeit der Zertifikate werden auch die erlaubten Wiederverwendungsfristen für Validierungsdaten reduziert. Für Domain Control Validation (DCV) – die Überprüfung, ob ein Antragsteller tatsächlich Kontrolle über eine Domain besitzt – sinkt die Wiederverwendungsfrist von derzeit 398 Tagen bis 2029 auf lediglich 10 Tage.

Die damit verbundenen Herausforderungen

Die geplanten Änderungen bringen eine Reihe signifikanter Herausforderungen mit sich. Derzeit arbeiten viele noch mit Zertifikatslaufzeiten von über einem Jahr. Diese bieten ausreichend Spielraum, um Erneuerungen manuell durchzuführen und Prozesse flexibel zu planen. Wird die Gültigkeit jedoch auf nur noch 47 Tage reduziert, müssen diese Abläufe in viel kürzeren Intervallen erfolgen. Der damit verbundene organisatorische und technische Aufwand steigt deutlich.

Insbesondere ohne automatisierte Prozesse erhöht sich das Risiko, dass Zertifikate unbemerkt ablaufen. Das kann zu Systemausfällen führen – von unterbrochenen HTTPS-Verbindungen bis hin zu vollständigen Dienstausfällen.

Erschwerend kommt hinzu, dass viele bestehende Systeme, insbesondere Legacy-Systeme, nicht auf moderne Protokolle zur automatisierten Zertifikatsverwaltung wie ACME ausgelegt sind. Solche Systeme lassen sich nur schwer oder gar nicht in eine automatisierte Infrastruktur integrieren. Dies kann umfangreiche Anpassungen durch die Hersteller oder in manchen Fällen sogar vollständige Systemablösungen erforderlich machen.

Ein weiterer Trend, der sich wahrscheinlich abzeichnen wird, ist die zunehmende Verlagerung der TLS-Terminierung auf vorgelagerte Proxys. Dabei werden die eigentlichen Backend-Verbindungen nicht mehr über TLS abgesichert, sondern oft unverschlüsselt per HTTP weitergereicht. Dies ist sicherheitstechnisch natürlich fragwürdig.

Warum kürzere Zertifikatslaufzeiten sinnvoll sind

Trotz der operativen Herausforderungen überwiegt der sicherheitstechnische Nutzen der verkürzten Laufzeiten. Je kürzer ein Zertifikat gültig ist, desto geringer ist das Zeitfenster, in dem ein kompromittierter Schlüssel Schaden anrichten kann. Durch die häufigere Erneuerung wird zudem sichergestellt, dass die zugrunde liegenden Validierungsdaten stets aktuell und korrekt sind.

Ein zusätzlicher Vorteil liegt in der Möglichkeit, Missbrauchsfälle oder Schwächen im Validierungsprozess schneller zu erkennen. Fehlerhafte Zertifikate oder unberechtigte Ausstellungen bleiben nur für eine begrenzte Zeit im Umlauf. Gleichzeitig zwingt die häufigere Erneuerung Unternehmen dazu, ihre Prozesse zu modernisieren und stärker auf automatisierte Verwaltungslösungen zu setzen.

Moderne Plattformunterstützung: Automatisierung als Schlüssel

Hier kommt der Einsatz moderner Plattformen wie Microsoft Azure ins Spiel. Azure Key Vault etwa unterstützt schon lange die automatische Zertifikatserneuerung, sofern die Zertifikate von einer integrierten Zertifizierungsstelle (CA) wie DigiCert oder GlobalSign stammen. Das reduziert den operativen Aufwand erheblich und minimiert das Risiko abgelaufener Zertifikate. Bei der Nutzung einer nicht integrierten CA ist derzeit jedoch noch ein manueller Prozess erforderlich.

Für klassische Windows-On-Premise-Umgebungen haben sich spezialisierte Tools wie der Certify Certificate Manager etabliert. Dieser unterstützt die automatisierte Verwaltung und Erneuerung von Zertifikaten, beispielsweise für IIS, Exchange oder Windows-Dienste – und das auf sehr flexible Weise. Die Software bietet umfangreiche Anpassungsmöglichkeiten und ist mit rund 150 US-Dollar pro Jahr für die kleinste kostenpflichtige Variante auch für kleinere Organisationen attraktiv.

Auf der Linux-Seite ist der Certbot nach wie vor die Standardlösung für ACME-basierte Zertifikatsautomatisierung und kann über Cronjobs oder systemd problemlos in bestehende Infrastrukturen eingebunden werden.

Entscheidend wird sein, rechtzeitig passende Automatisierungslösungen zu etablieren – idealerweise abgestimmt auf die jeweilige Infrastruktur. Ob Azure Key Vault, Certify oder Certbot: Die Werkzeuge sind vorhanden. Jetzt ist der richtige Zeitpunkt, sie in die tägliche Praxis zu integrieren.

Weiterlesen

Microsoft verschärft Authentifizierungsanforderungen für Outlook.com und weitere Dienste

Microsoft verschärft Authentifizierungsanforderungen für Outlook.com und weitere Dienste

Microsoft hat neue Authentifizierungsrichtlinien für seine Outlook.com-Dienste (einschließlich hotmail.com, live.com und outlook.com) angekündigt. Die Maßnahmen betreffen ausschließlich den Consumer-Bereich, also nicht Microsoft 365 Business-Kunden. Ab dem 5. Mai 2025 müssen Domains, die mehr als 5.000 E-Mails täglich an Outlook.com-Adressen versenden, über gültige SPF-, DKIM-

Von Yannic Röcken
Exchange Server SE: Preise veröffentlicht und weitere Preisanpassungen für On-Premises-Produkte ab Juli 2025

Exchange Server SE: Preise veröffentlicht und weitere Preisanpassungen für On-Premises-Produkte ab Juli 2025

Microsoft hat die offiziellen Preise für die Exchange Server Subscription Edition (SE) bekannt gegeben und gleichzeitig umfassende Preisanpassungen für weitere On-Premises-Serverprodukte angekündigt. Diese Änderungen treten zum 1. Juli 2025 in Kraft und betreffen unter anderem Skype for Business Server SE und SharePoint Server SE. Von klassischen Versionen zum Modern Lifecycle-Modell

Von Yannic Röcken