Warenkorb
Login
SSL-Verschlüsselungssymbol in Browserleiste

Was bedeutet die anstehende Laufzeitverkürzung für SSL-/TLS-Zertifikate?

Nahezu jeder Internetnutzer ist heute mit dem Schloss-Symbol im Browser vertraut, welches signalisiert, dass die besuchte Seite per HTTPS verschlüsselt ist. Doch seit ihrer Einführung in den 1990er Jahren, hat sich die Technologie stetig weiterentwickelt. Streng genommen sprechen wir heute auch nicht mehr von SSL, sondern TLS (Transport Layer Security).

Nun steht eine Verkürzung der Zertifikatslaufzeit an. Höchste Zeit also, sich dem Thema anzunehmen und zu beleuchten, was hinter der Laufzeitverkürzung steckt und wie der technologische Stand von TLS im Kontext Websicherheit einzuordnen ist.

Warum TLS?

TLS bildet die Grundlage für sichere Webseiten, Login-Bereiche, Zahlungsprozesse und API-Kommunikation. Ein moderner E-Commerce wäre beispielsweise ohne TLS kaum denkbar. Insbesondere hier verdeutlicht TLS seine drei zentralen Sicherheitsziele:

  • Vertraulichkeit durch Verschlüsselung
  • Integrität der übertragenen Daten
  • Authentizität durch Zertifikatsprüfung

Seit 2020 dürfen öffentlich vertrauenswürdige TLS-Zertifikate maximal 398 Tage gültig sein. Grundlage ist eine Entscheidung des CA/Browser Forums, ein Zusammenschluss internationaler Zertifizierungsstellen und Browserhersteller wie Apple, Google und Mozilla. Nun macht sich genau diese Allianz für eine Verkürzung stark.

Mehr Sicherheit durch kürzere Zyklen

Die Reduzierung der Zertifikatslaufzeiten basiert vor allem auf sicherheitstechnischen Argumenten: Je kürzer die Gültigkeit eines Zertifikat, desto geringer das Risiko einer langfristigen Kompromittierung. Denn kürzere Laufzeiten und regelmäßige Schlüssel- und Zertifikatswechsel sind ein wirksames Mittel zur Risikominimierung, indem veraltete Kryptografie schneller aus dem Verkehr gezogen werden.

Die maximale Lebensdauer von öffentlichen TLS/SSL-Zertifikaten wird dabei über die kommenden Jahre schrittweise reduziert:

  • ab dem 15. März 2026 (Sectigo) auf 200 Tage
  • ab dem 15. März 2027 auf 100 Tage
  • ab dem 15. März 2029 auf 47 Tag

Zertifikate, die vor diesen Daten ausgestellt wurden, bleiben natürlich bis zu ihrem jeweiligen Ablaufdatum gültig.

Für Unternehmen wird das eigene Zertifikatsmanagement so von einer gelegentlichen administrativen Aufgabe zu einem kontinuierlichen Prozess. Denn mit der Verkürzung der Gültigkeitsdauer müssen die Zertifikate zukünftig möglicherweise während der Laufzeit eines Auftrags gleich mehrmals neu ausgestellt werden.

Kostenlos oder kostenpflichtig – wo liegt der Unterschied?

Mit der Einführung der kostenlosen Domain-Validated-Zertifikate von Let’s Encrypt im Jahr 2015 hatte sich der SSL-Markt grundlegend verändert. Inzwischen ist Let´s Encrypt technisch ausgereift und wird für hunderte Millionen Zertifikate aktiv genutzt. Warum also für ein SSL-Zertifikat zahlen?

Die Verschlüsselungsstärke bei kostenlosen und kostenpflichtigen Zertifikaten ist tatsächlich identisch. Jedoch bestehen Unterschiede in der Validierung. Während Domain-Validated-Zertifikate lediglich die Kontrolle über die Domain prüfen, beinhalten Organization- Was und Extended-Validation-Zertifikate eine Identitätsprüfung des Unternehmens.

In regulierten Branchen oder bei sensiblen Geschäftsmodellen kann diese Abstufung aus Compliance- oder Vertrauensgründen relevant sein. Je mehr persönliche Daten über eine Domain ausgetauscht werden, desto dringlicher empfiehlt sich eine komplexe Validierung.

Operative Risiken durch kürzere Laufzeiten

Mit jeder Verkürzung der Laufzeit steigt der organisatorische Druck, denn jedes abgelaufene Zertifikat kann Websites, APIs oder E-Mail-Dienste sofort lahmlegen. Auch das BSI nennt abgelaufene Zertifikate explizit als vermeidbares Betriebsrisiko im Kontext von IT-Sicherheitsvorfällen. Typische Schwachstellen sind dabei:

  • eine fehlende zentrale Inventarisierung
  • manuelle Verlängerungsprozesse
  • unklare Zuständigkeiten
  • fehlendes Monitoring

Gerade Unternehmen mit größeren Domain-Portfolios sollten ihre Prozesse überprüfen und möglichst automatisieren – etwa über ACME-basierte Verfahren.

TLS allein reicht nicht für moderne Web-Sicherheit

Sicherheit endet nicht bei der Verschlüsselung auf Transportebene. Wir empfehlen stattdessen mehrschichtige Sicherheitskonzepte, die TLS hervorragend ergänzen können:

  • DNSSEC zum Schutz der Integrität der DNS-Auflösung
  • HSTS, welches im Browser dauerhaft HTTPS erzwingt
  • Certificate Transparency zur öffentlichen Nachverfolgung ausgestellter Zertifikate
  • Multi-Faktor-Authentifizierung für Domain- und DNS-Zugänge
  • SPF, DKIM und DMARC zur Gewährleistung von E-Mail-Authentizität

Insbesondere im Kontext der EU-Richtlinie NIS2 rücken genau diese organisatorische Sicherheitsmaßnahmen stärker in den Fokus. Zertifikatsmanagement wird so wichtiger Teil eines umfassenderen Risikomanagements.

Häufige Fragen zur Verkürzung von SSL-/TLS-Zertifikaten

Müssen bestehende Zertifikate sofort ausgetauscht werden?

Nein. Bereits ausgestellte Zertifikate behalten ihre ursprünglich definierte Laufzeit. Neue Laufzeitbegrenzungen gelten immer nur für neu ausgestellte Zertifikate ab dem Zeitpunkt der Regeländerung. Jedoch sollten Unternehmen schon frühzeitig prüfen, ob ihre Systeme und Prozesse auf kürzere Zyklen vorbereitet sind.

Betrifft die Laufzeitverkürzung auch kostenlose Zertifikate?

Ja. Die maximale Laufzeit wird durch die Browser- und CA-Richtlinien bestimmt, nicht durch den Preis des Zertifikats. Auch kostenlose Zertifikate von Let’s Encrypt unterliegen denselben Vorgaben wie kostenpflichtige Zertifikate.

Was passiert, wenn ein Zertifikat abläuft?

Ein abgelaufenes Zertifikat führt unmittelbar zu Browserwarnungen. Abhängig vom Anwendungsfall kann das bedeuten:

  • eine Website ist nicht mehr erreichbar
  • die API-Kommunikation schlägt fehl
  • der E-Mail-Transport wird blockiert
  • erheblicher Vertrauensverlust bei Kunden

Als Kunde der Domain-Offensive wirst Du vorab per E-Mail über den Ablauf von Zertifikaten informiert, damit Du rechtzeitig eine Verlängerung initiieren kannst.

Reicht ein kostenloses DV-Zertifikat für mein Unternehmen aus?

Das hängt ganz von Deinem Geschäftsmodell ab. Für eine rein technische Verschlüsselung sind DV-Zertifikate vollkommen ausreichend. Wenn jedoch Identität, Markenvertrauen oder regulatorische Anforderungen eine Rolle spielen – wie etwa im Finanz-, Gesundheits- oder öffentlichen Sektor – dann können OV- oder EV-Zertifikate mit höherem Validierungsumfang eher sinnvoll sein.

Du willst mehr erfahren? Dann nutze unsere Übersicht aller TLS-Versionen und kontaktiere jederzeit gern unser Service-Team mit Deinen persönlichen Fragen.

Bild von Corina

Corina

Corina schreibt regelmäßig für den Blog der Domain-Offensive, um Dich auf dem neuesten Stand rund um die Themen Domains, Webhosting und Website Management zu halten. Dabei schlüpft sie am liebsten direkt in die Rolle ihrer Leser, um deren brennende Fragen zu beantworten, komplexe technische Zusammenhänge verständlich zu machen und neue Trends und Best Practice für Website-Betreiber aufzugreifen.

Unser Whitepaper Website Trends 2026 ist da!

titelbild whitepaper website trends 2026

Wir beleuchten für Dich, welche Entwicklungen Dich 2026 rund die Themen Webtechnologie, Design, UX und Sicherheit erwarten und wie Du diese gezielt für Deine Website einsetzen kannst.

zum Whitepaper

Jetzt registrieren und regelmäßig Neuigkeiten, Tipps & Know-how sichern!

Anmeldung Newsletter

Du erhältst:
• News zu Domains & Hosting
• Tipps zu Deiner Website
• attraktive Rabatt-Aktionen
• und vieles mehr

Suche
Schlagwort-Suche

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Unsere neuesten Beiträge für Dich

Staffellauf Stabübergabe

Warum sich eine automatische Domainverlängerung lohnt

In unserem früheren Beitrag Frist zur Domainverlängerung versäumt – was nun? haben wir auf das Problem aufmerksam gemacht, dass vor allem Domaininhaber betrifft, die aufgrund des Umfangs ihres Portfolios oder...

Hier ist Dein Gutscheincode:

DE-LIFETIME