Im Laufe der Jahre war zu beobachten, wie sich die Gültigkeitsdauer von SSL-/TLS-Zertifikaten stetig verkürzt hat und wie jede Änderung uns zu stärkeren Sicherheitspraktiken gezwungen hat. Mit der jüngsten Entscheidung des Certificate Authority/Browser (CA/B) Forums, die Gültigkeitsdauer von Zertifikaten bis 2029 auf nur 47 Tage zu verkürzen, steht uns ein weiterer großer Wandel bevor, der unseren künftigen Umgang mit Zertifikaten deutlich verändern wird.
Welche Änderungen gibt es?
Derzeit beträgt die maximale Gültigkeitsdauer öffentlicher SSL/TLS-Zertifikate noch 398 Tage. Doch im April 2025 wurde Apples Vorschlag, diese Frist nach und nach auf 47 Tage zu verkürzen, vom CA/B-Forum offiziell angenommen. Und alle vier großen Browseranbieter – Apple, Google, Mozilla und Microsoft – haben dem Vorschlag zugestimmt.
Er sieht auch eine Verkürzung der Wiederverwendungsfrist für die Domänenkontrollprüfung (Domain Control Validation, DCV) vor, die bis März 2029 auf nur noch 10 Tage sinken soll. Unternehmen müssen Domänen also häufiger validieren und der Zeitrahmen über den gesamten Lebenszyklus des Zertifikats wird immer enger.
Die Termine für die Umsetzung sind wie folgt:
Warum das für IT-Teams wichtig ist
Wer heute Zertifikate verwaltet, weiß, dass es bei dieser Umstellung zwar um Sicherheit geht, aber dass sie auch für echte Herausforderungen sorgt. Das Fazit? Kürzere Zertifikatslebensdauern bedeuten häufigere Erneuerungen. Und wenn Ihr Team Zertifikate immer noch manuell verwaltet, stehen Ihnen anstrengende Zeiten bevor.
Sprechen Sie noch heute mit unserem Team
Was eine kürzere Zertifikatsgültigkeit für die Sicherheit bedeutet
Die Verkürzung der Gültigkeitsdauer von SSL/TLS-Zertifikaten von 398 Tagen auf 47 Tage hat verschiedene deutliche Auswirkungen auf die Websicherheit:
- Reduzierung der Angriffsfläche: Kürzere Lebensdauern bedeuten weniger Zeit, in der kompromittierte Zertifikate ausgenutzt werden können.
- Verbesserung des Sicherheitsstatus: Regelmäßige Erneuerungen stellen sicher, dass für die Zertifikate die neuesten Standards und Konfigurationen verwendet werden.
- Unterstützung von Zero-Trust-Prinzipien: Durch regelmäßige Erneuerungen wird der Vertrauensstatus kontinuierlich bestätigt.
Die betrieblichen Auswirkungen dürfen jedoch nicht ignoriert werden…
Die betrieblichen Herausforderungen für IT-Teams
Die Sicherheitsvorteile kürzerer Gültigkeitszeiträume von Zertifikaten sind die Hauptantriebskräfte für die anstehende Veränderung, aber sie bringen auch erhebliche betriebliche Herausforderungen mit sich.
- Häufigere Erneuerungen: Das Verfolgen und Erneuern von Zertifikaten alle 47 Tage ist ohne Automatisierung kaum machbar.
- Risiko menschlicher Fehler: Bei manuellen Prozessen kommt es häufig zu verpassten Verlängerungsterminen, Ausfällen und Compliance-Lücken.
- Höherer Ressourcenbedarf: Um mit der Entwicklung Schritt zu halten, benötigen IT-Teams eventuell mehr Personal, Schulungen oder Tools.
- Auswirkungen auf alle Geschäftsbereiche: Unabhängig davon, ob es um Großunternehmen oder kleine/mittlere Unternehmen (KMU) geht, erfordert diese Umstellung einen skalierbaren Ansatz.
Die nächsten Schritte: Vorbereitung auf die 47-tägige Gültigkeit
Auch wenn das Jahr 2029 noch weit weg scheint, so gibt es schon lange vorher wichtige Veränderungen. Aber wenn Sie jetzt proaktiv vorgehen, können Sie teure Ausfälle oder Stress in letzter Minute vermeiden.
Letztendlich geht es nicht nur um eine kürzere Gültigkeit, sondern darum, die Verwaltung Ihrer Zertifikate insgesamt zu modernisieren. Fangen Sie am besten hier an:
1. Transparenz durch eine Überprüfung des Zertifikatsbestands
Stellen Sie sicher, dass Sie wissen, wo sich alle Ihre Zertifikate befinden. Denn Lücken in Ihrem Inventar bergen Risiken. Mit Tools wie Atlas Discovery können Sie einen genauen Überblick über Ihre Zertifikatslandschaft erhalten.
2. Definieren von zertifikatsbezogenen Richtlinien und Workflows
Erstellen Sie, falls noch nicht geschehen, eine zentrale Richtlinie für die Ausstellung, Erneuerung und Sperrung von Zertifikaten sowie für die Zugriffskontrolle. Durch die Standardisierung von Arbeitsabläufen können die Teams ihre Arbeitsabläufe besser koordinieren und uneinheitliche Umgebungen reduzieren.
3. Nutzen Sie die Automatisierung gemäß Ihren Anforderungen
Sehen Sie sich an, was Ihre Infrastruktur schon heute unterstützen kann und was Sie brauchen, wenn die Zertifikatsmengen zunehmen. Unabhängig davon, ob Sie mit ACME beginnen oder auf eine vollständig verwaltete Public Key Infrastructure (PKI)-Lösung umsteigen, ist die Automatisierung unerlässlich, um bei Erneuerungen den Überblick nicht zu verlieren.
⚠️ Nur eine Anmerkung: ACME ist ein guter Einstieg in die Automatisierung der Ausgabe und Erneuerung von SSL/TLS-Zertifikaten, aber keine Komplettlösung für das Lebenszyklusmanagement. Für durchgängige Transparenz, Berichterstellung und Richtliniendurchsetzung benötigen Sie ein umfassenderes Tool.
4. Kontinuierliche Überwachung und Berichterstattung
Nutzen Sie Überwachung und Warnmeldungen, um ablaufenden Zertifikaten und Richtlinienverstößen einen Schritt voraus zu sein. Die Berichterstattung ist auch entscheidend, wenn es um Audits, die ISO-Konformität und die interne Rechenschaftspflicht geht.
5. Schulen Sie Ihre Teams
Stellen Sie sicher, dass Ihr Team die bevorstehenden Änderungen kennt und weiß, wie es die vorhandenen Tools und Prozesse für deren Umsetzung nutzen kann. Das richtige Bewusstsein reduziert Fehler – und alle kommen schneller voran.
Beispiel aus der realen Welt: Micheldever Group Ltd.
Nehmen wir die Micheldever Group Ltd.
„Der Grund für unsere Entscheidung für die ACME-Lösung war eigentlich die Art und Weise, wie wir den Erneuerungsprozess automatisieren können.“ Kevin Gosney, Infrastructure Engineer
Wie Infrastructure Engineer Kevin Gosney erklärt, brauchte das Unternehmen einen vertrauenswürdigen PKI-Partner zur Unterstützung der Automatisierung. Durch die Implementierung von ACME konnten Zertifikate automatisch ausgestellt, installiert und erneuert werden. Dadurch hat sich der manuelle Aufwand minimiert und die Konformität wurde trotz des kürzeren Erneuerungszyklus aufrechterhalten.
Das ist für kleinere Teams von großer Bedeutung. Größere Unternehmen mit einer komplexen Infrastruktur benötigen jedoch meist etwas Robusteres.
Lesen Sie hier die vollständige Fallstudie
Die richtige Automatisierungslösung finden
Die jeweils richtige Lösung hängt von Infrastruktur, Teamgröße und Menge der Zertifikate ab.
- Für manche bietet eine Managed PKI-Plattform die benötigte Transparenz und Kontrolle.
- Für andere – insbesondere große Unternehmen – ist ein Tool wie Certificate Automation Manager möglicherweise besser geeignet, um mehrere Domänen zu unterstützen.
Unabhängig davon, womit Sie beginnen: Handeln Sie jetzt, um Risiken klein zu halten, Ausfälle zu vermeiden und der Entwicklung einen Schritt voraus zu sein, bevor die 47-Tage-Frist zur Norm wird.
Die Verwaltung von Zertifikaten muss niemandem Kopfzerbrechen bereiten. Ganz gleich, ob Sie Ihren aktuellen Bestand prüfen, Erneuerungen automatisieren oder eine umfassende Lösung für das Lebenszyklusmanagement benötigen – wir helfen Ihnen dabei.
Anmerkung der Redaktion: Dieser Blog wurde ursprünglich am 16. Oktober 2024 veröffentlicht, wurde aber inzwischen aktualisiert, um Veränderungen in der Branche und neue Erkenntnisse zu berücksichtigen.
