Digitale Zertifikate: Aktuelle Marktdynamiken im Überblick
Digitale Zertifikate unterliegen aktuell einer Reihe paralleler Veränderungen. Innerhalb kurzer Zeit wurden Laufzeiten verkürzt, Validierungsanforderungen angepasst und technische Nutzungsmodelle eingeschränkt. Gleichzeitig entstehen neue Vorgaben in immer kürzeren Zyklen, angekündigte Fristen werden verschoben und Anforderungen kurzfristig angepasst.
Treiber der Veränderungen im Zertifikatsmarkt
Mehrere Akteure definieren die aktuellen Rahmenbedingungen für digitale Zertifikate, darunter Google, Apple und das CA/Browser Forum (CA/B).
Das CA/B erarbeitet technische und organisatorische Vorgaben für Zertifizierungsstellen und veröffentlicht diese in Form von Ballots. Sie bilden die Grundlage für die Ausstellung öffentlich vertrauenswürdiger Zertifikate (Public Trusted Certificates) und sind für diesen Bereich bindend.
Browserhersteller wie Google, Apple und Microsoft setzen diese Bestimmungen in ihren Root-Programmen um und ergänzen sie teilweise durch eigene Anforderungen. Da diese Programme darüber entscheiden, welche Zertifikate als vertrauenswürdig eingestuft werden, wirken ihre Richtlinien unmittelbar auf den gesamten Markt.
Zertifizierungsstellen (Certificate Authority, CA) setzen diese Regelwerke technisch um. Einzelne Vorgaben werden unterschiedlich interpretiert und führen dadurch zu abweichenden Umsetzungen, etwa bei der konkreten Ausgestaltung von Laufzeiten.
Die Dynamik entsteht aus dem Zusammenspiel dieser Akteure. Gleichzeitig können einzelne Marktteilnehmer Änderungen beschleunigen oder verzögern.
Für Organisationen ergibt sich daraus eine Situation mit begrenzter Planungssicherheit. Anpassungen lassen sich nicht mehr nur entlang langfristiger Roadmaps umsetzen, sondern müssen auf laufende Veränderungen reagieren.
Zentrale Änderungen bei digitalen Zertifikaten
Die Veränderungen betreffen mehrere Ebenen. Laufzeiten werden verkürzt, Validierungsprozesse verändert und technische Nutzungsmöglichkeiten eingeschränkt. Diese Änderungen greifen ineinander und wirken sich direkt auf bestehende Infrastrukturen aus.
Aktuelle Änderungen bei digitalen Zertifikaten
Zertifikatslaufzeiten
- Verkürzung von mehrjährigen Laufzeiten auf aktuell etwa 200 Tage
- Zielwert: 47 Tage ab März 2029
- Unterschiedliche Umsetzung durch CAs
Domainvalidierung (DV)
- Deutlich kürzere Gültigkeitszeiträume
- Zielwert: 10 Tage ab März 2029
- Validierung wird eng an jede Zertifikatsanforderung gekoppelt
Automatisierung
- Domainvalidierung wird in technische Zertifikatsmanagement- und CLM-Prozesse integriert
- Protokolle wie ACME verbinden Validierung und Ausstellung
- Manuelle Verfahren sind bei kurzen Intervallen nur eingeschränkt skalierbar
Technische Änderungen
- Trennung von Server- und Client-Zertifikaten (EKU)
- Anpassung bestehender Architekturen erforderlich
Marktdynamik
- Änderungen entstehen in kürzeren Zyklen
- Deadlines können angepasst oder verschoben werden
- Umsetzung variiert zwischen Zertifizierungsstellen
Verkürzung der Zertifikatslaufzeiten
Die Laufzeit öffentlich vertrauenswürdiger TLS-Zertifikate wurde schrittweise reduziert. Auf mehrjährige Laufzeiten folgte eine Begrenzung auf 398 Tage. Aktuelle Entwicklungen führen zu weiteren Verkürzungen, die sich heute im Bereich von 200 Tagen bewegen. Ziel ist eine Gültigkeit von 47 Tagen ab März 2029. Die konkrete Umsetzung unterscheidet sich je nach CA. Während einige Anbieter eine Laufzeit von 200 Tagen vorsehen, begrenzen andere diese bewusst auf 180 Tage, um zusätzliche technische Puffer bereitzuhalten. Dieses Vorgehen soll sicherstellen, dass Zertifikate innerhalb der zulässigen Grenzen erneuert werden. Neben der reinen Tagesanzahl können auch weitere formale Abweichungen dazu führen, dass Zertifikate nicht den aktuellen Vorgaben entsprechen und widerrufen werden müssen. Die Einhaltung dieser Vorgaben entwickelt sich also zu einer präzisen technischen Aufgabe.
Verkürzung und Automatisierung der Domainvalidierung
Mit den kürzeren Zertifikatslaufzeiten verändern sich auch die Prozesse und Gültigkeitszeiträume der Domainvalidierung. Während eine erfolgreiche Validierung früher über längere Zeiträume genutzt werden konnte, verkürzen sich diese Intervalle deutlich. Der Zielzustand liegt bei einer Gültigkeit von 10 Tagen ab März 2029. Die Domainvalidierung entwickelt sich damit zu einem wiederkehrenden Prozess, der eng mit jeder Zertifikatsanforderung verknüpft ist. In der Praxis bedeutet das, dass bei jedem Zertifikatsrequest eine erneute Prüfung erforderlich sein kann. Die Domainvalidierung wird dabei stärker in technische Zertifikatsmanagement- und CLM-Prozesse integriert. Auch Zertifizierungsstellen passen ihre Verfahren an, etwa durch sequenzielle Zertifikatsausstellungen mit fortlaufend erneuerter Validierung. Zudem steigen die Anforderungen an die Validierungsprozesse selbst. Prüfverfahren werden präziser definiert und stärker formalisiert. Unklare Nachweise oder Fehler bei der Umsetzung von Vorgaben können dazu führen, dass Zertifikate nicht ausgestellt oder nachträglich widerrufen werden.
Ende der EKU-Doppelverwendung
Eine weitere technische Änderung betrifft die Nutzung von Zertifikaten über die Extended Key Usage (EKU). Bisher war es möglich, ein einzelnes Zertifikat sowohl für Server- als auch für Client-Authentifizierung (Mutual TLS / mTLS) einzusetzen. Diese Doppelverwendung wird schrittweise abgeschafft. Die Umstellung beginnt im Frühjahr 2026.
Künftig werden Einsatzzwecke getrennt. Dadurch steigt die Anzahl der eingesetzten Zertifikate und damit auch der Aufwand für Verwaltung, Bereitstellung und Abstimmung zwischen beteiligten Systemen und Teams.
Ursachen der zunehmenden Dynamik
Die aktuelle Dynamik ergibt sich aus mehreren Entwicklungen. Steigende Anforderungen an die Sicherheit digitaler Vertrauensinfrastrukturen führen zu kürzeren Laufzeiten und häufigeren Validierungen. Zertifikate werden heute in deutlich mehr Kontexten eingesetzt, etwa in APIs und servicebasierter Kommunikation. Die Auswirkungen fehlerhafter oder kompromittierter Zertifikate sind entsprechend umfangreicher.
Kürzere Laufzeiten reduzieren die Zeitfenster, in denen solche Risiken bestehen. Gleichzeitig ermöglichen automatisierte Verfahren, diese verkürzten Intervalle technisch umzusetzen. Die Kombination aus steigenden Sicherheitsanforderungen und technischer Umsetzbarkeit führt dazu, dass Anpassungen in kürzeren Zyklen erfolgen und schneller wirksam werden.
Operativer und organisatorischer Mehraufwand
Verkürzte Laufzeiten und häufigere Domainvalidierungen erhöhen den operativen Aufwand deutlich. Gleichzeitig steigen die Anforderungen an Präzision und Abstimmung.
Daraus ergeben sich folgende Rahmenbedingungen:
- Höhere Frequenz bei Ausstellung und Erneuerung von Zertifikaten
- Steigender Abstimmungsaufwand zwischen Serverbetrieb, Netzwerk und Sicherheit
- Strengere Einhaltung formaler Vorgaben und Laufzeiten
- Bedarf an konsistenten und nachvollziehbaren Prozessen über Systemgrenzen hinweg
Kurzfristige Massenprozesse
Neben der regulären Erneuerung können Situationen entstehen, in denen eine hohe Anzahl von Zertifikaten kurzfristig ersetzt werden muss. In den vergangenen Monaten kam es mehrfach zu Fällen, in denen Zertifizierungsstellen ausgestellte Zertifikate kurzfristig widerrufen mussten. Ursachen waren formale Abweichungen oder nachträglich identifizierte Fehler in der Umsetzung von Vorgaben.
In solchen Fällen entsteht für Zertifikatsinhaber unmittelbarer Handlungsbedarf. In vielen Policies und Vertragsbedingungen sind solche kurzfristigen Reaktionsanforderungen bereits angelegt, auch wenn sie nicht immer unmittelbar sichtbar sind. Assets müssen deshalb innerhalb kürzester Zeit identifiziert, ersetzt und in produktiven Systemen ausgetauscht werden. Abhängig von Umfang und Infrastruktur kann daraus ein Massenaustausch entstehen. Organisationen benötigen daher Verfahren, um solche Prozesse schnell, strukturiert und automatisiert umzusetzen.
Reaktion der Zertifizierungsstellen
CAs passen ihre Prozesse an die veränderten Anforderungen an. Automatisierte Schnittstellen und Protokolle ermöglichen die Integration von Validierung, Ausstellung und Bereitstellung. Zertifikate werden häufig weiterhin mit einer Bruttolaufzeit von einem Jahr bereitgestellt, auch wenn die Nettolaufzeit der jeweils ausgestellten Instanzen deutlich kürzer ausfällt. Innerhalb dieses Zeitraums erfolgt die Ausstellung mehrfach neu, um die verkürzten Vorgaben einzuhalten. Die Trennung von technischer Laufzeit und Vertragsmodell vereinfacht bestehende Abrechnungs- und Betriebsprozesse. Für Organisationen bedeutet das, dass Zertifikatsprozesse unabhängig von Vertragslaufzeiten gesteuert werden müssen.
Handlungsfelder für Organisationen
Bestehende Prozesse müssen an die veränderten Rahmenbedingungen angepasst werden. Wichtige Schritte dabei sind:
- Vollständige Erfassung aller eingesetzten Zertifikate
- Integration der beteiligten Systeme und Schnittstellen
- Abstimmung von Validierung, Ausstellung und Bereitstellung über bestehende Systemgrenzen hinweg
- Aufbau konsistenter und nachvollziehbarer Zertifikatsprozesse
- Stärkere Automatisierung wiederkehrender Abläufe und Erneuerungen
- Fortlaufende Beobachtung aktueller Markt- und Regeländerungen
Aktuelle Entwicklungen veröffentlichen unter anderem das CA/Browser Forum sowie Browserhersteller wie Google und Apple. Fachportale und Branchenmedien wie das essendi it Magazin liefern zusätzliche Einordnungen.
Unser Beitrag zur Umsetzung
Diese Anforderungen lassen sich nur mit einer konsistenten Steuerung der Zertifikatsprozesse umsetzen.
Mit essendi cd lassen sich eingesetzte Zertifikate zentral erfassen und transparent dokumentieren. Darauf aufbauend unterstützt essendi xc die Steuerung und Automatisierung von Zertifikatsprozessen über den gesamten Lebenszyklus hinweg.
Über Schnittstellen lassen sich bestehende Systeme anbinden und Prozesse automatisieren. Validierung, Ausstellung und Deployment werden technisch miteinander verbunden und operativ umgesetzt.