SSL-Zertifikate: Kürzere Laufzeiten und was das für deine Website bedeutet

Die maximale Laufzeit von SSL/TLS-Zertifikaten wird in den kommenden Jahren schrittweise drastisch verkürzt. Was bisher bei zwölf Monaten lag, soll bis 2029 auf nur noch 47 Tage sinken. Für Website-Betreiber, Selbstständige und Unternehmen hat das weitreichende Konsequenzen: Wer seine Zertifikatsverwaltung nicht automatisiert, riskiert Ausfälle, Sicherheitswarnungen im Browser und Vertrauensverlust bei Besuchern. Hier erfährst du, was hinter der Entscheidung steckt, welchen Zeitplan du kennen musst und wie du dich konkret vorbereitest.

Warum werden die Laufzeiten von SSL-Zertifikaten verkürzt?

Die Entscheidung, die maximale Gültigkeitsdauer von SSL/TLS-Zertifikaten zu reduzieren, geht auf das CA/Browser Forum zurück. In diesem Gremium sitzen Vertreter der großen Zertifizierungsstellen (Certificate Authorities) und Browser-Hersteller wie Apple, Google und Mozilla zusammen. Der zentrale Treiber hinter der Verkürzung ist ein Sicherheitsargument: Je kürzer ein Zertifikat gültig ist, desto kleiner ist das Zeitfenster, in dem ein kompromittierter privater Schlüssel missbraucht werden kann.

Zusätzlich spielt die Aktualität der Domain-Validierung eine Rolle. Ein Zertifikat bestätigt, dass eine bestimmte Instanz die Kontrolle über eine Domain besitzt. Wenn diese Validierung nur alle zwölf Monate stattfindet, können sich in der Zwischenzeit Eigentumsverhältnisse ändern, ohne dass das Zertifikat das widerspiegelt. Kürzere Laufzeiten erzwingen häufigere Überprüfungen und sorgen damit für eine verlässlichere Zuordnung zwischen Zertifikat und tatsächlichem Domain-Inhaber.

Ein dritter Aspekt ist die Ablösung veralteter kryptografischer Verfahren. Wenn Zertifikate nur wenige Wochen gültig sind, lassen sich neue Algorithmen und Schlüssellängen deutlich schneller im gesamten Ökosystem ausrollen, ohne auf das Auslaufen langlebiger Zertifikate warten zu müssen.

Der konkrete Zeitplan bis 2029

Das CA/Browser Forum hat einen gestaffelten Zeitplan beschlossen, der die maximale Zertifikatslaufzeit in mehreren Schritten reduziert. Gleichzeitig verkürzt sich auch die Frist, innerhalb derer die Domain Control Validation (DCV) ihre Gültigkeit behält. Beide Werte sind für die Praxis relevant, weil sie bestimmen, wie oft du aktiv werden musst.

Die letzte Stufe ist besonders bemerkenswert: Bei 47 Tagen Laufzeit und einer DCV-Gültigkeit von nur 10 Tagen ist eine manuelle Verwaltung in der Praxis nicht mehr realistisch. Spätestens dann ist eine vollständige Automatisierung des Zertifikatslebenszyklus keine Empfehlung mehr, sondern eine Notwendigkeit.

Was bedeutet die DCV-Verkürzung auf 10 Tage?

Die Domain Control Validation ist der Prozess, mit dem eine Zertifizierungsstelle prüft, ob der Antragsteller tatsächlich die Kontrolle über die betreffende Domain hat. Typische Methoden sind DNS-basierte Validierung über TXT-Records, HTTP-basierte Validierung über eine Datei im Webroot oder E-Mail-basierte Bestätigung an vordefinierte Adressen.

Wenn die DCV-Gültigkeit auf 10 Tage sinkt, muss diese Prüfung bei jeder Zertifikatserneuerung praktisch neu durchgeführt werden. Bei einem 47-Tage-Zertifikat, das du idealerweise einige Tage vor Ablauf erneuerst, bedeutet das alle fünf bis sechs Wochen eine frische Validierung. Manuelle DNS-Einträge setzen oder E-Mails bestätigen wird damit zum operativen Risiko, besonders wenn du mehrere Domains oder Subdomains betreibst.

ACME und Let's Encrypt: Die Automatisierung als Standard

Das Protokoll, das die automatisierte Zertifikatsverwaltung ermöglicht, heißt ACME (Automatic Certificate Management Environment). Es wurde ursprünglich von Let's Encrypt entwickelt und ist inzwischen als RFC 8555 standardisiert. ACME erlaubt es einem Server, eigenständig Zertifikate anzufordern, die Domain-Validierung durchzuführen und die Erneuerung zeitgesteuert auszulösen, ohne dass ein Administrator manuell eingreifen muss.

Let's Encrypt war der erste große Anbieter, der Zertifikate ausschließlich über ACME ausstellte und von Beginn an auf kurze Laufzeiten von 90 Tagen setzte. Damit hat Let's Encrypt die Branche maßgeblich in Richtung Automatisierung bewegt. Die meisten gängigen Webserver und Hosting-Panels unterstützen ACME inzwischen nativ oder über Plugins. Tools wie Certbot, acme.sh oder Caddy übernehmen den gesamten Prozess inklusive Renewal und Konfigurationsanpassung.

Wer einen eigenen Server betreibt, etwa einen VPS, sollte prüfen, ob Certbot oder ein vergleichbarer ACME-Client installiert und korrekt konfiguriert ist. Entscheidend ist, dass nicht nur die Erstausstellung funktioniert, sondern auch der Cronjob für die automatische Erneuerung zuverlässig läuft. Ein einzelner fehlgeschlagener Renewal-Versuch ist bei 47-Tage-Zertifikaten weniger tolerierbar als bei einem Jahreszertifikat.

Auswirkungen auf verschiedene Zertifikatstypen

Die Verkürzung betrifft zunächst alle öffentlich vertrauten SSL/TLS-Zertifikate, also Domain Validated (DV), Organization Validated (OV) und Extended Validation (EV) Zertifikate gleichermaßen. Für DV-Zertifikate ist die Automatisierung über ACME bereits etabliert und relativ unkompliziert.

Bei OV- und EV-Zertifikaten wird es komplexer: Die Organisationsvalidierung erfordert zusätzliche Prüfschritte, die bisher teilweise manuell ablaufen. Zertifizierungsstellen werden ihre Prozesse anpassen müssen, damit auch diese Zertifikatstypen in kürzeren Zyklen ausgestellt werden können. Für Website-Betreiber, die bisher auf OV- oder EV-Zertifikate setzen, lohnt sich eine Prüfung, ob der Mehrwert gegenüber DV-Zertifikaten den zusätzlichen Verwaltungsaufwand rechtfertigt. Seit moderne Browser die Anzeige von EV-Zertifikaten in der Adressleiste stark zurückgefahren haben, ist der sichtbare Unterschied für Besucher ohnehin minimal.

Praktische Konsequenzen für Website-Betreiber

Managed Hosting und Shared Hosting

Wenn du ein Webhosting-Paket oder WordPress Hosting nutzt, übernimmt in der Regel dein Hosting-Anbieter die Zertifikatsverwaltung. Bei den meisten Anbietern sind Let's-Encrypt-Zertifikate standardmäßig integriert und werden automatisch erneuert. Hier musst du in der Regel nichts unternehmen, solltest aber überprüfen, ob dein Anbieter die automatische Erneuerung für alle deine Domains und Subdomains tatsächlich aktiv hat.

Eigene Server und VPS

Auf einem VPS oder dedizierten Server liegt die Verantwortung bei dir. Stelle sicher, dass ein ACME-Client eingerichtet ist und teste den Renewal-Prozess aktiv. Ein sinnvoller Ansatz ist, die Erneuerung nicht erst kurz vor Ablauf zu versuchen, sondern mit ausreichend Vorlauf, sodass bei einem Fehler noch Zeit für Korrekturen bleibt. Certbot erneuert standardmäßig 30 Tage vor Ablauf, was bei 47-Tage-Zertifikaten bedeutet, dass die Erneuerung bereits nach etwa 17 Tagen angestoßen wird.

Multi-Domain-Setups und Wildcards

Betreibst du viele Domains oder arbeitest mit Wildcard-Zertifikaten, wird die DNS-basierte Validierung zum kritischen Punkt. Wildcard-Zertifikate erfordern zwingend eine DNS-01-Challenge, also das Setzen eines TXT-Records. Bei 10 Tagen DCV-Gültigkeit muss dieser Prozess vollständig über die API deines DNS-Providers automatisiert sein. Prüfe, ob dein Domain-Registrar oder DNS-Anbieter eine API bereitstellt, die von gängigen ACME-Clients unterstützt wird.

Monitoring und Alerting nicht vergessen

Automatisierung funktioniert, bis sie es nicht mehr tut. Ein abgelaufenes Zertifikat führt dazu, dass Browser eine ganzseitige Sicherheitswarnung anzeigen, was Besucher sofort abschreckt und bei Shops oder Webanwendungen zu direktem Umsatzverlust führt. Deshalb gehört zu jeder automatisierten Zertifikatsverwaltung ein Monitoring, das dich warnt, wenn ein Zertifikat innerhalb der nächsten Tage abläuft und die Erneuerung noch nicht erfolgt ist.

Einfache Lösungen reichen von einem Cronjob, der die Zertifikatslaufzeit per OpenSSL-Kommando prüft und bei Unterschreitung eines Schwellwerts eine E-Mail sendet, bis hin zu professionellen Monitoring-Diensten, die Zertifikate von außen prüfen. Für geschäftskritische Websites empfiehlt sich beides in Kombination: eine interne Prüfung auf dem Server und eine externe Prüfung von einem unabhängigen Monitoring-Dienst.

Was du jetzt konkret tun solltest

Auch wenn die 47-Tage-Grenze erst 2029 greift, lohnt es sich, bereits jetzt die Weichen zu stellen. Die Zwischenschritte auf 200 und 100 Tage kommen deutlich früher und erfordern ebenfalls eine zuverlässige Automatisierung.

Prüfe zunächst, wie deine aktuellen Zertifikate verwaltet werden. Wenn du manuell Zertifikate bestellst und installierst, plane die Umstellung auf ACME-basierte Automatisierung ein. Teste den gesamten Prozess einmal komplett durch, inklusive Erneuerung und Neustart des Webservers. Überprüfe bei Multi-Domain-Setups, ob die DNS-API deines Anbieters kompatibel ist. Und richte ein Monitoring ein, das dich bei Problemen rechtzeitig informiert.

Wie dogado dich bei der Umstellung unterstützt

Wenn du dein Webhosting oder WordPress Hosting bei dogado betreibst, profitierst du davon, dass die SSL-Zertifikatsverwaltung bereits in die Hosting-Infrastruktur integriert ist. Für alle über dogado registrierten Domains lässt sich die Zertifikatsausstellung unkompliziert einrichten, sodass du dich auf deine Website und dein Geschäft konzentrieren kannst, statt Zertifikatslaufzeiten zu überwachen.

Betreibst du einen VPS bei dogado, hast du volle Kontrolle über die Serverkonfiguration und kannst ACME-Clients wie Certbot direkt installieren und konfigurieren. In Kombination mit einer bei dogado registrierten Domain hast du alle Komponenten an einem Ort und vermeidest Reibungsverluste zwischen verschiedenen Anbietern.

Auch beim Thema Website-Erstellung spielt die SSL-Konfiguration eine Rolle: Ob du den Homepage-Baukasten von dogado nutzt oder eine individuell entwickelte Seite betreibst, eine durchgängige HTTPS-Verschlüsselung ist heute nicht nur Sicherheitsstandard, sondern auch ein relevanter Ranking-Faktor. Wenn du deine Sichtbarkeit in Suchmaschinen gezielt verbessern möchtest, bietet dogado ergänzend SEO-Dienstleistungen an, die technische Faktoren wie HTTPS-Konfiguration in eine ganzheitliche Optimierungsstrategie einbetten.