Behalten Sie die TLS-Uhr im Auge: Wichtige Daten zum Lebenszyklus von Zertifikaten, die Sie kennen sollten
Die Umstellung auf eine 6-monatige (199-tägige) Gültigkeit von SSL/TLS-Zertifikaten ab dem 15. März 2026 markiert den Beginn einer raschen Beschleunigung in Richtung kürzerer Lebenszyklen, die bis 2029 46 Tage erreichen werden. Da sich das Erneuerungsvolumen vervielfacht, werden manuelle Prozesse unter dem Druck versagen und Lücken in Bezug auf Transparenz, Verantwortung und Automatisierung aufdecken. Unternehmen müssen das Certificate Lifecycle Management (CLM) einführen, um die Erkennung, Ausstellung und Erneuerung von Zertifikaten in großem Umfang zu automatisieren, die Ausfallsicherheit zu gewährleisten, Ausfälle zu verhindern und sich auf eine Zukunft vorzubereiten, die von kontinuierlichen Zertifikatsoperationen und Post-Quantum-Anforderungen geprägt ist.
Inhaltsverzeichnis
Warum sich Ihr Team schon heute vorbereiten sollte
2026: Das Ende der einjährigen Zertifikatsära
2027: Beschleunigung und das endgültige Aus für Ein-Jahres-Zertifikate
2029: Zertifikate werden zu einem monatlichen Ereignis
2030 und darüber hinaus: Kurze Lebensspannen, Quantendruck und was kommt als Nächstes?
Was muss ich also heute tun?
Warum sich Ihr Team schon heute vorbereiten sollte
Der Austausch von Zertifikaten in großem Umfang ist kein "Post-Quantum-irgendwann"-Szenario mehr. Da die Branche von jährlichen Erneuerungen zu Zyklen übergeht, die in Monaten und dann in Wochen gemessen werden, wird jede Organisation zu einer häufigeren Ausstellung, Validierung und Bereitstellung gezwungen. Das bedeutet, dass die Fähigkeit, Zertifikate massenweise (schnell, sicher und ohne Ausfälle) zu ersetzen, zu einer grundlegenden Anforderung wird.
Kürzere Lebensspannen komprimieren alles: Bestandsgenauigkeit, Genehmigungen, Domain Control Validation (DCV), Änderungsfenster und Bereitstellungsworkflows. Wenn die Lebensdauer auf 199 Tage, dann auf 99 Tage und dann auf 46 Tage sinkt, verdoppelt sich das Erneuerungsvolumen effektiv (2x), verdoppelt sich dann wieder (4x) und verdreifacht sich dann (12x). Jede Lücke in der Erkennung, in der Eigentümerschaft oder in der Prozessautomatisierung macht sich sofort durch fehlgeschlagene Erneuerungen, abgelaufene Endpunkte und Notfallmaßnahmen bemerkbar.
DasCertificate Lifecycle Management (CLM) löst das Problem des Massenaustauschs, indem es die Arbeit mit Zertifikaten in ein kontrolliertes, wiederholbares System verwandelt. Mit CLM können Teams kontinuierlich Zertifikate ermitteln, Richtlinien standardisieren, die Ausstellung/Erneuerung automatisieren, Bereitstellungen orchestrieren und die Konformität nachweisen. Wenn sich die Lebensdauer weiter verkürzt (oder wenn eine dringende Änderung des Schlüssels/Algorithmus erforderlich ist), können Sie Zertifikate innerhalb von Stunden oder Tagen in verschiedenen Umgebungen austauschen, anstatt sich wochenlang abzumühen.
Im Folgenden finden Sie eine Übersicht über die wichtigsten Daten, die Sie im Auge behalten müssen, warum sie wichtig sind und welche Auswirkungen zu erwarten sind.
2026: Das Ende der einjährigen Zertifikatsära
12. März 2026: Das Ende von Sectigo
Der 12. März ist der letzte Tag, an dem Sectigo öffentliche TLS-Zertifikate ausstellen wird. Das Datum wurde absichtlich auf einen Wochentag gelegt, um Organisationen einen kleinen Puffer zu geben, bevor die allgemeinen Änderungen in der Branche in Kraft treten.
An diesem Tag:
- Sectigo stellt keine öffentlichen 1-Jahres/398-Tage-TLS-Zertifikate mehr aus
- Die DCV-Wiederverwendung wird von einem Jahr auf 198 Tage reduziert
14. März 2026: Der letzte Tag des "Business as Usual" für die gesamte Branche
Dies ist der letzte Tag, an dem eine Zertifizierungsstelle mit dem 398-Tage/1-Jahres-Zertifikatslebensdauer-Modell arbeiten kann.
An diesem Tag:
- Letzter Tag, an dem eine CA ein 398-Tage-Zertifikat ausstellen kann
- Letzter Tag für die Wiederverwendung von DCV für mehr als 198 Tage
- Letzter Tag für die Wiederverwendung von OV für mehr als 366 Tage
Wenn Sie ein letztes langlebiges Zertifikat oder eine verlängerte Validierungswiederverwendung benötigen, ist dies Ihr Stichtag.
15. März 2026: Richtlinienänderung tritt in Kraft
Am 15. März treten die neuen Regeln offiziell in Kraft.
An diesem Tag:
- Die maximale Lebensdauer von TLS-Zertifikaten sinkt auf 199 Tage
- Die maximale DCV-Wiederverwendung sinkt auf 199 Tage.
- Die OV-Wiederverwendung wird auf 366 Tage begrenzt.
Unsere Experten erwarten einen großen Anstieg der DCV-Revalidierung. Dies ist der erste Moment, in dem Automatisierungslücken zu schmerzen beginnen. Teams, die sich noch auf manuelle DCV oder unregelmäßige Erneuerungsworkflows verlassen, werden dies schnell zu spüren bekommen.
30. September 2026: Der "Tag der Abrechnung"
Sechs Monate später wird die Realität eintreten. Die ersten 199-Tage-Zertifikate beginnen abzulaufen, und wir werden die Auswirkungen dieser kürzeren Zertifikatslaufzeiten in Echtzeit für alle unvorbereiteten Unternehmen zu spüren bekommen.
An diesem Tag:
- Das Erneuerungsvolumen verdoppelt sich effektiv
Dies wird der erste große Stresstest für den neuen Lebenszyklus sein. Wenn Sie vorher nicht vorbereitet waren, werden Sie es jetzt definitiv merken.
2027: Beschleunigung und das endgültige Aus für Ein-Jahres-Zertifikate
14. März 2027: Die letzten 199-Tage-Zertifikate
An diesem Tag:
- Dies ist der letzte Tag, an dem eine CA:
- ein 199-Tage-Zertifikat ausstellen
- DCV für mehr als 99 Tage wiederverwenden
Dieser Tag markiert auch den Beginn des letzten Ablauffensters für alte einjährige Zertifikate.
15. März 2027: Willkommen bei 99-Tage-Zertifikaten
Ein Jahr nach der Einführung der 199-tägigen Zertifikatslaufzeit kommt es zu einem weiteren Rückgang, wie vom CA/Browser Forum gefordert.
An diesem Tag:
- Die maximale Zertifikatslebensdauer sinkt auf 99 Tage
- DCV-Wiederverwendung sinkt auf 99 Tage
Eine weitere (kleinere) DCV-Revalidierungsspitze wird erwartet. Zu diesem Zeitpunkt werden vierteljährliche Zertifikatsoperationen obligatorisch und nicht mehr optional.
16. April 2027: Einjährige Zertifikate werden vollständig abgeschafft
Dies ist der letztmögliche Tag, an dem ein 398-Tage-Zertifikat mit Besitzstandswahrung noch aktiv sein kann. Nach dem 16. April:
- Öffentliche TLS-Zertifikate mit einer Laufzeit von einem Jahr gibt es im Internet nicht mehr.
27. Juni 2027: Die 99-Tage-Ablaufwelle
Die ersten 99-Tage-Zertifikate (ausgestellt am 15. März) beginnen abzulaufen, und das Erneuerungsvolumen verdoppelt sich erneut. Mitte 2027 ist das Verlängerungsaufkommen bereits um ein Vielfaches höher als bei den meisten Unternehmen heute.
29. September 2027: Das Ende der 6-Monats-Zertifikate
Ende September werden wir die gleichen Auswirkungen erleben wie bei den 199-Tage-Zertifikaten. Abläufe überall für diejenigen, die nicht automatisiert sind.
An diesem Tag:
- Letzter möglicher Tag, an dem ein 199-Tage-Zertifikat existieren kann
- Sechsmonatige TLS-Zertifikate verschwinden vollständig
Von jetzt an ist alles drei Monate oder weniger.
2029: Zertifikate werden zu einem monatlichen Ereignis
14. März 2029: Die letzten 99-Tage-Zertifikate
Der 14. März ist der letzte Tag für mehrmonatige Zertifikate. Dies ist der letzte Tag, an dem eine CA:
- ein 99-Tage-Zertifikat ausstellen
- DCV länger als etwa 8 Tage wiederverwenden
Dies ist auch der Zeitpunkt, an dem die DCV-Kadenz von vierteljährlich... auf wöchentlich umgestellt wird.
15. März 2029: Die 46-Tage-Welt
An diesem Tag:
- Die maximale Lebensdauer von Zertifikaten sinkt auf 46 Tage
- Die monatliche Zertifikatserneuerung wird zur Norm
- Die DCV-Wiederverwendung erfolgt effektiv wöchentlich
Jeder verbleibende manuelle Prozess wird zu diesem Zeitpunkt eine Sollbruchstelle darstellen.
30. April 2029: Die Erneuerungslast explodiert
Zu diesem Zeitpunkt sind Zertifikate keine Hintergrundaufgabe mehr, sondern eine ständige betriebliche Bewegung.
An diesem Tag:
- Die ersten 46-Tage-Zertifikate beginnen abzulaufen
- Die Arbeitsbelastung bei der Erneuerung erreicht etwa das 12-fache des heutigen Wertes
2030 und darüber hinaus: Kurze Lebensspannen, Quantendruck und was kommt als Nächstes?
Bis 2030 wird die Branche standardmäßig mit extrem kurzen Zertifikatslebenszyklen arbeiten. Dies fördert nicht nur die Sicherheitshygiene, sondern auch die Widerstandsfähigkeit in einer Welt, die sich schneller verändert als die Kryptografie in der Vergangenheit.
Die Quanteninformatik spielt hier eine große Rolle. Auch wenn praktische, groß angelegte Quantenangriffe auf die Public-Key-Kryptografie noch Jahre entfernt sein mögen, ist die Reaktionszeit von Bedeutung. Durch die kürzere Lebensdauer von Zertifikaten wird der Radius von kryptografischen Durchbrüchen, kompromittierten Schlüsseln oder Algorithmusumstellungen im Notfall drastisch reduziert.
In einer Post-Quantum-Zukunft:
- Zertifikate müssen möglicherweise massenhaft und sehr kurzfristig ersetzt werden
- Krypto-Agilität ist nur noch durch Automatisierung zu erreichen
- Wöchentliche oder sogar On-Demand-Ausstellung könnte normal werden
Die Arbeit, die den Unternehmen jetzt abverlangt wird (Automatisierung, Bestandstransparenz, DCV-Effizienz und Orchestrierung der Erneuerung), legt den Grundstein für diese Zukunft.
Was muss ich also heute tun?
Die Lebensdauer von Zertifikaten verändert die Arbeitsweise von Teams grundlegend. Was früher eine jährliche oder vierteljährliche Aufgabe war, wird zu einem kontinuierlichen System, das skaliert, schnell wiederhergestellt und schnell angepasst werden muss.
Die oben genannten Termine sind sowohl Meilensteine in der Branche als auch Warnsignale für die bevorstehenden Veränderungen.
Der Weg nach vorn ist einfach. Wenn Sie es nicht schon getan haben:
- Automatisieren Sie die Ausstellung und Erneuerung von Anfang bis Ende
- Eliminieren Sie manuelles DCV wo immer möglich
- Behandeln Sie Zertifikate als Infrastruktur, nicht als Papierkram
Die Uhr tickt, und von jetzt an wird es nur noch schneller gehen.