Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Zertifikatslebenszyklusmanagement

Wie Apples Vorschlag zur Verkürzung der Lebensdauer von TLS-Zertifikaten umgesetzt wird

Geschrieben vonDivyansh Dwivedi 09 Minuten
Navigation durch Apples Vorschlag zur Verkürzung der Lebensdauer von TLS-Zertifikaten
Inhaltsverzeichnis

Es ist kein Vorschlag mehr. Die CA / Browser-Forum Kürzlich wurde mit 25 zu 0 Stimmen einstimmig eine Richtlinie verabschiedet, die die maximale Gültigkeitsdauer öffentlicher TLS-Zertifikate ab März 2029 auf nur 47 Tage verkürzt. Dieser neue Standard ist kein Vorschlag, sondern eine verabschiedete Richtlinie.  

Ein Sicherheitsingenieur drückte es treffend aus: „Vertrauen im Internet ist nichts mehr, was man einrichtet und dann vergisst.“ 

Bevor wir uns mit den wichtigsten Details dieser Richtlinie befassen, wollen wir den Zweck der Verkürzung der Zertifikatslebensdauer verstehen.  

Warum wird eine kürzere Gültigkeitsdauer des Zertifikats bevorzugt? 

Zertifikate mit kürzerer Gültigkeitsdauer verringern das Zeitfenster für Angreifer, einen kompromittierten Schlüssel auszunutzen. Wird ein Zertifikat heute gestohlen, verfällt es schnell und lässt kaum Raum für Missbrauch. Wird ein TLS-Zertifikat heute kompromittiert, endet sein Missbrauch innerhalb von Wochen, nicht Monaten. Sie sind nicht länger auf veraltete Widerrufssysteme angewiesen. CRLs, um es zu kennzeichnen. 

Lassen Sie es uns in die folgenden Punkte aufschlüsseln: 

  1. Reduziertes Risikofenster

    Eine kürzere Zertifikatsgültigkeit begrenzt den Zeitraum, in dem ein kompromittiertes oder falsch ausgestelltes Zertifikat ausgenutzt werden kann, erheblich. Unabhängig davon, ob es sich um einen durchgesickerten privaten Schlüssel oder ein betrügerisches Zertifikat handelt, bleibt der Schaden auf ein viel engeres Zeitfenster begrenzt, wodurch die langfristigen Sicherheitsauswirkungen minimiert werden.

  2. Sicherheit erfordert Agilität

    Wenn die Lebensdauer von Zertifikaten kürzer wird, fällt es leichter, auf neue Sicherheitsverbesserungen umzusteigen, wie z. B. verbesserte kryptografische Algorithmen oder gepatchte Konfigurationen. Kurz gesagt: Mit der Verschlüsselung von gestern lässt sich die Zukunft nicht verteidigen.

  3. Fördert die Automatisierung

    Die manuelle Zertifikatserneuerung ist nicht skalierbar, wenn Zertifikate alle 47 oder 90 Tage ablaufen. Kürzere Lebensdauern zwingen Unternehmen dazu, automatisierte Lösungen für das Certificate Lifecycle Management (CLM) einzuführen. Dadurch werden menschliche Fehler reduziert und zeitnahe Vorgänge im Zertifikatslebenszyklus wie Ausstellung, Erneuerung und Widerruf sichergestellt.

  4. Zukunftssichere Sicherheit

    Durch häufigere Erneuerungen können Organisationen schnell auf sich entwickelnde Standards reagieren (wie Post-Quanten-Kryptographie) oder neue Compliance-Vorgaben. Kurzlebige Zertifikate schaffen einen natürlichen Aktualisierungszyklus, der die kryptografische Agilität unterstützt.

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Wichtigster Aspekt der 47-tägigen Gültigkeit

Apples Roadmap stürzt die Branche nicht kurzfristig ins Chaos. Stattdessen sieht sie eine schrittweise, strategische Verkürzung der Gültigkeit von TLS-Zertifikaten vor. So haben Unternehmen Zeit, sich anzupassen und werden gleichzeitig zur Automatisierung und Einführung moderner Sicherheitspraktiken ermutigt. 

So entwickelt sich die Zeitleiste: 

  • März 2026 → Gültigkeitsdauer des Zertifikats auf 200 Tage begrenzt.
  • März 2027 → Weiter reduziert auf 100 Tage.
  • März 2029 → Begrenzt auf nur 47 Tage.

Doch die Transformation ist damit noch nicht beendet. 

Die Domain Control Validation (DCV) ist der Mechanismus zum Nachweis des Domainbesitzes und wird zunehmend verschärft. September 2027wird die DCV-Wiederverwendungsdauer auf 10 TageDies bedeutet, dass Systeme für die Ausstellung neuer Zertifikate den Besitz alle 10 Tage erneut bestätigen müssen, anstatt eine Domäne einmal zu validieren und diese Validierung wochenlang wiederzuverwenden. 

Für diejenigen, die Organization Validation (OV) oder Extended Validation (EV)-Zertifikategibt es ein weiteres wichtiges Update. Die Wiederverwendung von Daten zur Identitätsvalidierung, d. h. die Wiederverwendung zuvor überprüfter Organisationsdaten (wie z. B. Firmenname, Registrierungsnummer, Adresse und andere Identitätsmerkmale Ihres Unternehmens) bei der Ausstellung von OV- und EV-Zertifikaten, wird ebenfalls eingeschränkt: 

  • Zertifikate, die am oder vor dem 14. März 2026 ausgestellt wurden: Wiederverwendung für 825 Tage erlaubt
  • Zertifikate, die am oder nach dem 15. März 2026 ausgestellt wurden: Wiederverwendung nur für 398 Tage erlaubt

Dies bedeutet, dass OV/EV-Benutzer ihre Organisationsvalidierung alle 398 Tage wiederholen müssen, was eine neue Ebene der fortlaufenden Compliance hinzufügt. Dies bedeutet, dass OV/EV-Benutzer ihre Organisationsvalidierung alle 398 Tage wiederholen müssen, was eine neue Ebene der fortlaufenden Compliance hinzufügt. 

Kurz gesagt handelt es sich um mehr als nur eine Änderung der Zahlen. Es handelt sich um eine grundlegende Neuausrichtung der Art und Weise, wie digitales Vertrauen im Internet vermittelt, bestätigt und aufrechterhalten wird. 

Welche Auswirkungen hat es auf Ihr Unternehmen? 

Diese Entwicklung stellt Unternehmen vor einen Wendepunkt. Einerseits verspricht sie mehr Sicherheit, andererseits erfordert sie Geschwindigkeit, Automatisierung und neue Arbeitsabläufe. 

Hier erfahren Sie, was sich ändert und warum es wichtig ist. 

  • Erhöhte Erneuerungsfrequenz

    TLS-Zertifikate sind künftig nicht mehr länger als ein Jahr gültig. Ab 2029 laufen sie alle 47 Tage ab. Dadurch verringert sich das Zeitfenster für Angreifer, gestohlene oder missbräuchlich verwendete Zertifikate auszunutzen, erheblich. Das bedeutet aber auch, dass Ihr Erneuerungsprozess streng und ausfallsicher sein muss; Verzögerungen sind nicht tolerierbar.

  • OV/EV-Revalidierung alle 398 Tage

    Aufgrund genehmigter Änderungen bei der Wiederverwendung von Validierungsdaten müssen Organisationen, die OV- oder EV-Zertifikate verwenden, ab dem 15. März 2026 alle 398 Tage eine erneute Organisationsvalidierung durchführen. Dies führt zu einem Verwaltungsaufwand, der nachverfolgt und automatisiert werden muss, da sonst das Risiko von Verzögerungen und Ausstellungsfehlern besteht.

  • Häufige DCV-Kontrollen

    Die Domain Control Validation (DCV), die den Domänenbesitz überprüft, muss alle 10 Tage durchgeführt werden. Dadurch wird sichergestellt, dass Zertifikate nur an diejenigen ausgestellt werden, die die Domäne tatsächlich kontrollieren – eine wichtige Sicherheitsebene. Der manuelle Aufwand ist jedoch enorm, insbesondere für Unternehmen, die Hunderte oder Tausende von Domänen verwalten.

  • Manuelle Prozesse sind nicht skalierbar

    Sich auf Tabellenkalkulationen, Kalendererinnerungen oder einige wenige Teammitglieder zu verlassen, um Ablaufdaten und Erneuerungen zu verfolgen, ist nicht nachhaltig. In dieser Umgebung mit hoher Frequenz ist die manuelle Zertifikatsverwaltung eine Belastung, keine Strategie.

  • Das Risiko von Ausfällen steigt

    Zertifikate dienen nicht nur der Sicherung von Websites; sie schützen auch APIs, Microservices, VPNs, mobile Apps und vieles mehr. Eine versäumte Verlängerung oder eine fehlgeschlagene digitale Validierung (DCV) kann dazu führen, dass geschäftskritische Dienste nicht mehr verfügbar sind. Für Unternehmen kann dies Umsatzeinbußen, Vertrauensverlust und Reputationsschäden bedeuten.

Digitales Vertrauen ist heute eng mit Agilität verknüpft. Die Zeiten des „Einrichtens und Vergessens“ sind vorbei. Unternehmen müssen sich von statischer Zertifikatsverwaltung hin zu automatisierten, dynamischen Systemen entwickeln, die mit modernen Bedrohungen Schritt halten können. 

Wie können sich Organisationen auf die Umstellung auf kürzere Gültigkeitsdauern von TLS-Zertifikaten vorbereiten?  

Der Übergang zu 47 Tagen Zertifikatslebensdauer Es handelt sich nicht nur um eine Aktualisierung der Richtlinien, sondern um einen grundlegenden Wandel im Umgang mit digitalem Vertrauen. Auch wenn 2029 noch weit entfernt erscheint, ist es jetzt an der Zeit zu handeln. Unternehmen, die sich heute anpassen, vermeiden morgen Probleme. 

Es geht nicht darum, für 2029 bereit zu sein, sondern darum, heute alle 47 Tage zu beweisen, dass Sie das ohne Ausnahme schaffen können. 

So bereiten Sie sich auf die 47-tägige Gültigkeitsverlängerung des Zertifikats vor: 

Erstellen Sie ein zentrales Zertifikatsinventar

Sie können nicht automatisieren oder sichern, was Sie nicht sehen können. Viele Organisationen verfügen über Dutzende, wenn nicht Hunderte öffentlicher TLS-Zertifikate, die auf Websites, APIs, VPNs, Load Balancern und internen Diensten verteilt sind. Ein abgelaufenes Zertifikat an einem dieser Orte kann schwerwiegende Ausfälle verursachen, Kunden beeinträchtigen oder interne Abläufe stören.

Aktionsplan:

  • Verwenden Sie Discovery-Tools (z. B. Qualys SSL Labs, Censys, CLM-Plattformen), um Zertifikate in Ihrem PKI Umwelt.
  • Dokumentieren Sie Zertifikatstypen (DV, OV, EV), ausstellende CAs, Ablaufdaten und verantwortliche Eigentümer.
  • Erstellen Sie ein zentrales Zertifikatsinventar, eine zentrale Anlaufstelle, auf die Ihre Teams zugreifen können.

Implementieren Sie die Automatisierung des Zertifikatslebenszyklus

Da die Lebensdauer von Zertifikaten von 200 auf 100 bis 47 Tage sinkt, ist eine manuelle Erneuerung nicht mehr tragbar. Die Teams sind überfordert, wenn sie alle paar Wochen versuchen, Zertifikate zu verfolgen, zu erneuern, zu validieren und bereitzustellen.

Aktionsplan:

  • Für DV-Zertifikate: Verwenden Sie ACME-basierte Protokolle (wie Let's Encrypt oder EJBCA), um Zertifikate automatisch auszustellen, zu erneuern und bereitzustellen.
  • Für SSL/TLS-Zertifikate: Investieren Sie in Zertifikatslebenszyklusverwaltung (CLM) Plattformen (z. B. CertSecure von Encryption Consulting).
  • Stellen Sie sicher, dass die Automatisierung alle Zertifikatsvorgänge wie Anforderungsgenerierung, CSR-Erstellung und -Signierung, Zertifikatbereitstellung sowie Erneuerungs- oder Widerrufszyklen abdeckt.
  • Integrieren Sie CLM-Tools in Ihre DevOps- oder Cloud-Infrastruktur (z. B. Ansible, Terraform, Jenkins).

DCV- und Validierungs-Workflows überarbeiten

Heute können Sie die Domänenkontrollvalidierung (DCV) länger als 30 Tage wiederverwenden. Ab September 2027 verkürzt sich dieses Zeitfenster auf 10 Tage, was bedeutet, dass Zertifikate, die danach ausgestellt werden, häufig eine erneute Domänenvalidierung erfordern.

Aktionsplan:

  • Verwenden Sie ACME-Clients, um DNS-basiertes oder HTTP-basiertes DCV (über TXT-Einträge oder Webserver-Token) zu automatisieren.
  • Vorvalidieren Sie Domänen über Ihre CA um den Echtzeit-Overhead zu reduzieren.
  • Planen Sie die DCV-Rotation für Wildcard- und Multi-SAN-Zertifikate.

Testen Sie jetzt kürzere Erneuerungszyklen

Wenn Sie warten, bis die 47-Tage-Regel in Kraft tritt, kann das zu Problemen führen. Pilottests müssen jetzt unter kontrollierten Bedingungen für die zukünftige Umgebung simuliert und an Ihre Arbeitsabläufe angepasst werden.

Aktionsplan:

  • Legen Sie Erneuerungsintervalle auf 60 oder 90 Tage fest (von einigen CAs bereits gefordert).
  • Führen Sie diese Test-Workflows durchgängig aus, einschließlich Ausgabe, Validierung, Bereitstellung und Alarmbehandlung.
  • Überwachen Sie die Erfolgsquote von Erneuerungen, Ausfallzeiten aufgrund fehlgeschlagener Bereitstellungen und Verzögerungen bei der menschlichen Reaktion. So werden Engpässe, Fehlkonfigurationen und Abdeckungslücken aufgedeckt, bevor Sie 47 Tage Zeit haben.

Bilden Sie funktionsübergreifende Teams

Das Lebenszyklusmanagement von Zertifikaten betrifft nicht nur Sicherheitsteams. Wenn DevOps nicht informiert ist, die IT nicht abgestimmt ist oder Entwickler die Grenzen der Automatisierung nicht verstehen, kann dies zu internen Reibungen und Ausfällen führen.

Aktionsplan:

  • Führen Sie Workshops mit DevOps-, Sicherheits-, IT-Infrastruktur- und Compliance-Teams durch.
  • Aktualisieren Sie die internen Standardarbeitsanweisungen und Einarbeitungsunterlagen, um neue Ablauffristen, DCV- und OV/EV-Validierungsanforderungen sowie Notfallverlängerungsprotokolle aufzunehmen.
  • Legen Sie den Zertifikatsbesitz oder die Service-Leads fest, um die Verantwortlichkeit für wichtige Zertifikate aufrechtzuerhalten.

Überprüfen Sie Richtlinien, Verträge und SLAs

Nicht alle Anbieter, Plattformen oder Hosting-Provider sind für die kurzzyklische Zertifikatsverwaltung bereit. Einige Load Balancer, Cloud-Anbieter oder SaaS-Tools verfügen möglicherweise nicht über API-Integration oder Automatisierungsunterstützung.

Was ist zu tun:

  • Überprüfen Sie Ihre Drittanbieter-Tools und Cloud-Plattformen: Prüfen Sie, ob diese die Erneuerung und Bereitstellung von Zertifikaten automatisieren.
  • Aktualisieren Sie die SLAs des Anbieters, um die 47-Tage-Zertifikatsanforderungen zu berücksichtigen.
  • Verhandeln Sie Unterstützung für ACME-Integrationen oder fordern Sie Automatisierungstools als Teil Ihrer Sicherheitserwartungen an.

Die Umstellung auf 47-Tage-TLS-Zertifikate und 398-Tage-OV/EV-Validierungen ist nicht nur ein Upgrade, sondern eine neue Arbeitsweise. Um in diesem Umfeld sicher und vertrauenswürdig zu bleiben, muss Ihr Unternehmen Automatisierung vorantreiben, die Zusammenarbeit zwischen den Teams verbessern und seine Systeme jetzt entsprechend vorbereiten. 

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Wie kann EC helfen? 

CertSecure Manager ist eine wirklich herstellerneutrale Lösung, die den gesamten SSL/TLS-Zertifikatslebenszyklus von der Ausstellung und Erkennung bis hin zur Bereitstellung und Zertifikatsvorgängen mit nur einem Klick wie Verlängerung, Widerruf und CA-Migration automatisiert. Sie kann problemlos viele verwalten. SSL/TLS-ZertifikateMit dem zentralisierten Dashboard von CertSecure Manager erhalten Sie Echtzeit-Einblicke in alle Ihre Zertifikate, wodurch manuelle Arbeitsabläufe entfallen und das Risiko unerwarteter Ablaufdaten minimiert wird.   

Bereiten Sie sich schon heute auf die Zukunft des CLM vor und erleben Sie unsere CLM-Lösung: CertSecure Manager. Fordern Sie noch heute eine Demo an

Fazit 

Die Reduzierung der Gültigkeitsdauer von TLS-Zertifikaten auf 47 Tage ist kein theoretisches Konzept mehr; es handelt sich um eine von der Industrie unterstützte und genehmigte Vorgabe, die die Art und Weise, wie digitales Vertrauen im Internet aufrechterhalten wird, grundlegend verändern wird. 

Was im Jahr 2020 mit der Durchsetzung von 398-Tage-Zertifikaten durch Apple begann, hat sich mittlerweile zu einem umfassenderen, unumkehrbaren Trend entwickelt, der Agilität statt Selbstgefälligkeit, Automatisierung statt manueller Überwachung und Sicherheit durch Design statt Tradition betont. 

Bis März 2029 werden alle öffentlichen TLS Zertifikate Die Gültigkeitsdauer der OV/EV-Validierung wird in weniger als zwei Monaten ablaufen, und bis März 2026 wird sie auf 398 Tage verkürzt. Dies sind nicht nur technische Änderungen, sondern zwingende betriebliche Maßnahmen. Unternehmen, die sich nicht anpassen, riskieren mehr als nur Unannehmlichkeiten: Serviceausfälle, Vertrauensverlust bei Kunden und potenzielle Verstöße gegen Compliance-Vorschriften. 

In einer Welt, in der das Vertrauen alle 47 Tage neu definiert wird, werden diejenigen die Gewinner sein, die sich jeden Tag vorbereiten. 

Entdecken Sie unsere

Verwandte Blogs

ADCS Open Protocols Spezifikationen

ADCS Open Protocols Spezifikationen: Ein vollständiger technischer Leitfaden

3. Juni 2026
certsecure-manager-orchestrator-for-f5

Wie CertSecure Manager Orchestrator für F5 die Verwaltung des Zertifikatslebenszyklus auf F5 BIG-IP automatisiert 

1. Juni 2026
abi-research-names-encryption-consulting-across-3-reports-on-the-future-of-clm

ABI Research hat uns in 3 Berichten erwähnt, da wir dazu beitragen, den CLM-Markt neu zu gestalten.

May 21, 2026

Entdecken

Weitere Themen