Die Laufzeit öffentlich vertrauenswürdiger SSL-Zertifikate sank Anfang 2026 auf 200 Tage. Ab 2027 sollen rund 100 Tage folgen, ab 2029 etwa 47. Manuelle Renewal-Prozesse skalieren mit dieser Frequenz nicht mehr. Wer heute nur die nächste Stufe abarbeitet, baut Architekturen, die bald wieder bröckeln.
SSL- und TLS-Zertifikatslaufzeiten schrumpfen in wenigen Jahren von 200 Tagen über 100 Tage bis auf 47 Tage. Nur eine architekturbasierte Automatisierung hält mit diesem Tempo mit.
Seit dem 15. März 2026 dürfen öffentlich vertrauenswürdige SSL- und TLS-Zertifikate nur noch eine maximale Laufzeit von 200 Tagen haben. Die Entscheidung stammt vom CA/Browser Forum, der maßgeblichen Instanz für die Ausstellung öffentlicher Zertifikate. Ab dem 15. März 2027 sinkt die Laufzeit dann auf 100 Tage, ab dem 15. März 2029 auf etwa 47 Tage. Was nach einer technischen Randnotiz klingt, ist für IT-Verantwortliche mit verteilten Domain-Portfolios eine operative Zäsur. Ein Unternehmen mit 500 Zertifikaten kommt 2029 auf rund 3.900 Renewals pro Jahr.
Der Markt reagiert darauf seit Jahren mit Standardisierung. Das ACME-Protokoll, kurz für Automatic Certificate Management Environment und definiert in RFC 8555, ist inzwischen De-facto-Standard. Auch kommerzielle Certificate Authorities (CAs) wie DigiCert, Sectigo, GlobalSign, SSL.com oder Entrust unterstützen ACME nativ. Die Frage „ob automatisieren" ist entschieden. Die spannende Frage lautet, welche Architektur die kommenden Verkürzungsstufen tatsächlich trägt.
Drei Wege durch die Automatisierungslandschaft
In der Praxis haben sich drei Pfade etabliert.
Der Erste ist die direkte ACME-Anbindung. Ein Client wie Certbot, acme.sh, cert-manager oder win-acme spricht direkt mit der CA, führt die Challenge aus und installiert das Zertifikat. Das Modell funktioniert auf einzelnen Webservern oder in homogenen Cluster-Umgebungen exzellent. Es stößt aber an Grenzen, sobald mehrere CAs parallel orchestriert werden müssen oder die Compliance-Anforderungen über ein einfaches Logfile hinausgehen.
Der zweite Pfad ist die REST-API-Integration bei einer kommerziellen CA oder einem CLM-Anbieter, also Certificate Lifecycle Management. Hier kommen Reporting und zentrales Inventar dazu, allerdings um den Preis einer anbieterspezifischen Implementierung. Wer den CA-Provider wechseln will, muss die Integration neu bauen.
Der dritte Pfad ist die Plattform-Lösung. Sie liegt als Abstraktionsschicht zwischen Endsystemen und CAs, bietet sowohl ACME-Endpoints als auch REST-APIs an und ermöglicht Multi-CA-Orchestrierung über eine einheitliche Schnittstelle. Diese Architektur ist die Einzige, die auch bei einer Frequenzverdopplung 2027 und 2029 wirtschaftlich tragfähig bleibt.
In über 20 Jahren Beratung internationaler Konzernkunden sehen wir vier wiederkehrende Bruchstellen, wenn ACME-Clients dauerhaft selbst betrieben werden.
Erstens das DNS-Update-Problem. In Enterprise-Umgebungen läuft die Mehrheit der Validierungen über die DNS-01-Challenge, weil sie Wildcard-Zertifikate erlaubt und auch für interne Hosts funktioniert. Das setzt voraus, dass der ACME-Client Schreibrechte auf eine DNS-Zone bekommt. Bei kompromittiertem Token kann ein Angreifer im schlimmsten Fall produktive DNS-Records manipulieren, nicht nur Validierungs-Einträge. Das BSI weist im IT-Grundschutz-Kompendium explizit auf die Risiken unzureichend abgesicherter DNS-Update-Pfade hin.
Zweitens das Inventar-Problem. Standalone-Clients wissen nur, was sie selbst beantragt haben. Eine konsolidierte Sicht über das Gesamtportfolio fehlt strukturell. Spätestens bei der ersten ISO-27001- oder NIS2-Prüfung wird das schmerzhaft. Excel-basierte Workarounds erfüllen die Anforderungen an revisionssichere Protokollierung in der Regel nicht.
Drittens das Multi-CA-Problem. Viele Unternehmen brauchen verschiedene CAs gleichzeitig. Let's Encrypt für unkritische DV-Zertifikate, DigiCert oder GlobalSign für OV- und EV-Anforderungen in regulierten Bereichen, dazu eine Backup-CA für Ausfallszenarien. Die Orchestrierungs-Logik dafür muss in eigenen Skripten implementiert und in jeder Client-Konfiguration nachgepflegt werden. Bei jeder Strategie-Änderung folgt eine Welle an Anpassungen.
Viertens das Eskalations-Problem. Wenn ein Renewal auf einem einzelnen Server scheitert, läuft die Fehlerbehandlung lokal. Ein systemweites Alerting mit definierten Eskalationspfaden ist in Standard-Clients nicht vorgesehen. Bei künftig sechs Renewals pro Jahr und Zertifikat wird jeder einzelne Ausfall zu einem produktiven Vorfall. Verizon dokumentiert im Data Breach Investigations Report seit Jahren, dass abgelaufene Zertifikate eine der häufigsten Ursachen für TLS-bezogene Produktivausfälle sind.
Sicherheitsarchitektur über CNAME-Delegation
Eine elegante Antwort auf das DNS-Update-Problem liegt in der CNAME-Delegation, in der Praxis oft als DCV-Zonen-Konzept bezeichnet. Statt dem ACME-Client Schreibrechte auf die produktive DNS-Zone zu geben, wird der „_acme-challenge"-Subnamespace per CNAME-Eintrag auf eine dedizierte Validierungs-Zone umgeleitet. Alle Validierungs-Einträge passieren ausschließlich dort. Selbst bei kompromittiertem API-Token bleibt die Hauptzone strukturell unerreichbar. DNSSEC-Signaturen, MX-Records, SPF und DKIM sind nicht manipulierbar.
Das Konzept ist nicht neu, wird aber in vielen Eigenbau-Setups übersprungen, weil es eine zusätzliche Initial-Konfiguration erfordert. Wer die Komplexität einmal investiert, gewinnt eine architektonische Sicherheitsebene, die in regulierten Branchen Voraussetzung für ernsthafte Zertifikatsautomatisierung ist. In Audits wird sie zunehmend explizit nachgefragt.
Vier Anforderungen an eine zukunftsfähige Architektur
Aus unserer Beratungspraxis muss eine Renewal-Architektur, die bis 2029 trägt, vier Anforderungen erfüllen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Erstens Multi-CA-Fähigkeit ohne Re-Implementierung. Wer heute auf eine einzige CA setzt, hat morgen ein Cluster-Risiko. Die vergangenen zwei Jahre haben mehrfach gezeigt, dass selbst große CAs binnen Tagen Vertrauen verlieren können. Ein Wechsel muss ohne Endsystem-Anpassungen möglich sein.
Zweitens DCV-Erzwingung auf Architektur-Ebene. Wenn der Validierungs-Pfad strukturell so gebaut ist, dass produktive Zonen nie schreibend berührt werden, ist der größte Angriffsvektor neutralisiert.
Drittens eine API-Alternative für Setups ohne ACME. Legacy-Anwendungen, eigene CertOps-Tools oder Multi-Tenant-Plattformen lassen sich oft nicht mit Standard-Clients automatisieren. Eine entwicklerfreundliche REST-Schnittstelle macht den Unterschied zwischen vollständiger Automatisierung und einem Restbestand an manuellen Renewals.
Viertens zentrales Inventar mit Audit-Trail. Ohne lückenlose Protokollierung über alle Zertifikate hinweg sind ISO-27001, NIS2 und DORA nicht sauber erfüllbar.
Ausblick auf 100, 47 Tage und Post-Quantum
Mit der schrittweisen Verkürzung auf 100 und 47 Tage wird der operative Druck weiter steigen. Branchenbeobachter rechnen damit, dass spätestens ab 2027 manuelles Zertifikatsmanagement in größeren Umgebungen wirtschaftlich nicht mehr leistbar ist. Parallel kommen mit Post-Quantum-Kryptographie weitere Anforderungen. Das NIST hat im August 2024 die ersten Post-Quantum-Standards finalisiert, und etablierte CAs haben begonnen, Migrationspfade vorzubereiten.
Die Wahl der Architektur ist keine reine Tool-Entscheidung mehr, sondern eine strategische. Wer 2026 nur die 200-Tage-Regel adressiert, baut Architekturen, die in zwei Jahren wieder nachjustiert werden müssen. Wer jetzt eine multi-CA-fähige, DCV-erzwingende Plattform-Lösung einführt, ist auf die kommenden Verkürzungen und auf den Post-Quantum-Übergang wesentlich besser vorbereitet. Die einzige nicht-tragfähige Option ist, gar nichts zu tun.
Über den Autor: Thomas Küchenthal ist Gründer und Chief Technology Officer (CTO) der LEMARIT GmbH, einem Spezialisten für Corporate Domain Services, digitalen Markenschutz und Zertifikatsmanagement. Als Wirtschaftsinformatiker bringt Thomas Küchenthal technische Expertise aus mehr als 25 Jahren Branchen-Erfahrung mit. Der ausgewiesene DNS-Spezialist ist Mitglied des Technischen Beirats der DENIC eG und Verfechter einer sicheren Infrastruktur mit technisch durchdachten Lösungen.