Eine drastische Änderung steht bevor!

Die Lebensdauer von digitalen Zertifikaten für sichere Verbindungen wird drastisch verkürzt. Ab 2029 beträgt die maximale Laufzeit nur noch 47 Tage, im Vergleich zu heute mit bis zu 398 Tagen! Dies wurde durch eine Abstimmung des CA/Browser Forums beschlossen, gefolgt von einem Vorschlag von Apple, der schon lange auf der Agenda steht.

Browserriese im Aufstand?

Die Browserhersteller sind unzufrieden mit den aktuellen Regelungen. Fehlende Möglichkeiten zur Löschung von betrügerisch oder fehlerhaft ausgestellten Zertifikaten bereiten ein Kopfzerbrechen. Altbewährte Methoden wie OCSP und CRLs haben sich als unzureichend erwiesen. Apples Vorschlag aus 2024 erhielt schließlich die nötige Unterstützung, nachdem ein früherer Vorstoß von Google im Jahr 2023 scheiterte. Dies zeigt, wie wichtig die Sicherheit im Internet für die großen Technologieunternehmen ist.

Veränderungen im Ausstellungsvorgang

Zusätzlich wird auch der Prozess zur Ausstellung und Verlängerung der Zertifikate verschärft. Wo Antragsteller zuvor ihre Identifikationsunterlagen über ein Jahr lang nutzen konnten, wird dieser Zeitraum auf lediglich zehn Tage reduziert. Das bedeutet, dass für jedes neue Zertifikat die Dokumente erneut eingereicht werden müssen. Eine Automatisierung dieses Prozesses bis 2029 ist daher für viele Unternehmen unerlässlich.

Ein sanfter Übergang? Nicht ganz!

Webserver-Administratoren können jedoch vorerst aufatmen. Die neue Regelung tritt nicht sofort in Kraft, sondern wird schrittweise eingeführt: - Ab dem 15. März 2026 verkürzt sich die Laufzeit auf maximal 200 Tage. - Nach dem 15. März 2027 halbiert sie sich auf 100 Tage. - Erst ab dem 15. März 2029 müssen alle Serverzertifikate nach 47 Tagen erneuert werden.

Votum zeigt klare Richtung

Das Votum beim CA/Browser Forum war eindeutig: 29 Ja-Stimmen, keine Gegenstimmen, fünf CAs enthielten sich. Dieses klare Ergebnis zeigt den Druck auf die Organisation, die Zertifikatsrichtlinien anzupassen.

Let's Encrypt zeigt mit gutem Beispiel voran

Die größte Zertifizierungsstelle, Let's Encrypt, hat bereits eigene Pläne: Sie bietet Zertifikate mit einer Laufzeit von nur sechs Tagen an und hat traditionell keine längeren Laufzeiten als 90 Tage. Im April 2025 wurden über 500 Millionen gültige Zertifikate bei Let's Encrypt registriert, das ist ein zehnmal höherer Wert als bei der zweitgrößten CA, Sectigo.

Was bedeutet das für die Zukunft?

Mit dieser radikalen Änderung wird die Sicherheit im Internet potenziell erhöht, auch wenn sie für Administratoren einen höheren Aufwand bedeutet. Die kommenden Jahre werden entscheidend sein, um zu sehen, wie der Markt auf diese Veränderungen reagiert und ob die Automatisierungen wie gewünscht umgesetzt werden können.