"Sehr gut"
Zur Startseite von SSLplus für SSL-Zertifikate, SMIME-Zertifikate, DocumentSigning, MPKI

200 Tage - und jetzt?

Ab März 2026 beträgt die maximal zulässige Laufzeit öffentlich vertrauenswürdiger SSL/TLS-Zertifikate nur noch 200 Tage. Das hat weitreichende Konsequenzen für Websitebetreiber, IT-Abteilungen und Dienstanbieter. Wer weiterhin auf manuelle Zertifikatsverwaltung setzt, riskiert Warnmeldungen in Browsern, potenzielle Ausfälle und unnötige operative Komplexität. Die neue Vorgabe zwingt zu moderneren, automatisierten Abläufen – wir zeigen, was möglich ist.

Was die 200-Tage-Grenze für Betreiber bedeutet

Für Betreiber von Websites und Diensten hat die neue Laufzeit klare betriebliche Auswirkungen: Zertifikate müssen häufiger erneuert werden. Manuelle Abläufe wie die berühmt, berüchtigte Excelliste sind nicht mehr ausreichend verlässlich. Statt dessen werden automatisierte Prozesse notwendig – von Beantragung und Validierung bis zur Installation. Die Überwachung von Zertifikatslaufzeiten wird unerlässlich, um Ausfälle zu vermeiden. Wer diese Anforderungen frühzeitig berücksichtigt, schafft verlässliche und störungsarme Betriebsabläufe.

Warum Zertifikate künftig kürzer gültig sind

  • Schnellere Reaktion auf Kompromittierungen: Fehlerhafte oder kompromittierte Zertifikate bleiben kürzer im Umlauf.
  • Modernisierung kryptografischer Standards: Veraltete Schlüssel und Algorithmen werden schneller aus dem Ökosystem entfernt. Vor dem Hinterrgund eines baldigen Eintritts in das Quantum-Zeitalter ein notweniger Schritt für die kommende Umstellung.
  • Förderung automatisierter Zertifikatsprozesse: Zertifikatsverwaltung soll zuverlässig, reproduzierbar und planbar funktionieren.

Lösungsansätze zur zuverlässigen Automatisierung


Server- und Websitebetreiber können den SSL-/TLS-Schutz heute auf mehreren Wegen vollständig automatisieren. Am verbreitetsten ist die Nutzung des ACME-Standards, wie ihn etwa Let’s Encrypt, Buypass oder ZeroSSL anbieten. Mit ACME lassen sich Zertifikate automatisch anfordern, validieren und erneuern. Die dafür eingesetzten Clients – beispielsweise Certbot, acme.sh, lego oder win-acme – integrieren sich direkt in Webserver oder Plattformen und übernehmen den gesamten Lebenszyklus der Zertifikate. Für umfangreichere Serverlandschaften und interne Systeme empfiehlt sich häufig ein Certificate Lifecycle Management in Verbindung mit einer Managed PKI.

 

Schutz einzelner Domains

Mögliche Anforderungen: Einzelne Zertifikate ggf. mit meheren SANs
Unsere Empfehlung:

ACME

Um eine einzelne Domain abzusichern, bedarf es keiner umfangreichen Lösungen. Diese läßt sich zuverlässig mittels ACME erneuern. Ein Skript auf dem Server erneuert im von Ihnen vorgegebenen Tonus das Zertifikat durch direkten Abruf von der Zertifizierungsstelle.

Mehr zu ACME Zertifikaten

Schutz mehrerer Domains

Mögliche Anforderungen: Mehrere öffentliche Zertifikate; Netzwerk-Scans
Unsere Empfehlung:

Cloudbasierende CLM

Ab 25 Zertifikaten empfehlen wir den Einsatz eines cloudbasierenden Certificate Lifecycle Managements (CLM), um den Überblick im Netzwerk nicht zu verlieren und auf Anforderungen schnell reagieren zu können. Auf Wunsch mit PKI einer Zertifizierungsstelle, ein manueller Bezug bleibt möglich.

Mehr zu cloudbasierenden CLM

Schutz ganzer Netzwerke

Mögliche Anforderungen: Absicherung mit öffentlichen und privaten Zertifikaten (hybride Lösungen); mehr als 100 Zertifikate
Unsere Empfehlung:

On-Premise CLM + PKI

Insbesondere bei hybriden Netzwerken aus zahlreichen privaten und öffentlichen Zertifikaten empfehlen wir den Einsatz eines on-Prem installierten und verfügbaren Certificate Lifecycle Managements (CLM) mit Anbindung an eine oder mehrere Managed Public-Key-Infrastrukturen (PKI).

Mehr zu On-Premise CLM