essendi xc ist wie ein Saugroboter: Er arbeitet im Hintergrund, hält den Zertifikatsbestand in Ordnung und sorgt dafür, dass es gar nicht erst zu Unordnung kommt. Jeder sollte einen haben.

Zertifikate als zeitlich begrenzte Vertrauensanker

Digitale Zertifikate sind eine zentrale Komponente moderner PKI-Infrastrukturen. Sie verbinden einen kryptographischen öffentlichen Schlüssel mit einer geprüften Identität und ermöglichen eine vertrauenswürdige TLS-Verschlüsselung. Webserver, APIs, Containerplattformen und interne Dienste verwenden TLS-Zertifikate als Vertrauensanker innerhalb der Vertrauenskette.

Jedes Zertifikat besitzt eine begrenzte Gültigkeitsdauer. Nach Ablauf verliert es seine Funktion. Um Ausfälle zu vermeiden, müssen Administratoren Zertifikate erneuern, damit Verbindungen weiterhin als sicher gelten. Die Zertifikate-Gültigkeitsdauer ist ein zentraler Bestandteil im Zertifikatslebenszyklus. Dieser umfasst Ausstellung, Nutzung, Überwachung und Erneuerung von SSL Zertifikaten. Die maximale Gültigkeitsdauer digitaler Zertifikate wurde in den vergangenen Jahren mehrfach reduziert. Bis September 2020 lag die Grenze noch bei 825 Tagen. Danach wurde sie auf 398 Tage verkürzt. Seit dem 15. März 2026 liegt die maximale Zertifikate Gültigkeitsdauer bei 200 Tagen. Diese Änderung beeinflusst den operativen Umgang mit Zertifikaten in vielen IT-Infrastrukturen.

Die neue Laufzeit-Roadmap des CA Browser Forums (CA/B Forum)

Datum

bis 14. März 2026

ab 15. März 2026

ab 15. März 2027

ab 15. März 2029

Maximale Laufzeit

398 Tage

200 Tage

100 Tage

47 Tage

Parallel dazu verkürzt sich der Zeitraum, in dem eine Domain-Validierung wiederverwendet werden kann. Nach einer erfolgreichen Prüfung erkennt die Certification Authority die Kontrolle über eine Domain nur noch für eine begrenzte Zeit an. Neue Zertifikate erfordern daher häufiger eine erneute Domain-Validierung. Dadurch steigt die Anzahl notwendiger Prüfungen.

Die Reduktion auf 47 Tage führt also langfristig zu einem nahezu monatlichen Erneuerungsrhythmus.

Sicherheitslogik hinter kurzen Laufzeiten

Die Verkürzung der Zertifikate Laufzeit folgt einer klaren sicherheitstechnischen Logik.

Zertifikate enthalten öffentliche Schlüssel, die mit privaten Schlüsseln verbunden sind. Wird ein privater Schlüssel kompromittiert, kann ein Angreifer verschlüsselte Kommunikation entschlüsseln oder eine digitale Identität imitieren.

Kurze Laufzeiten begrenzen den Zeitraum, in dem ein kompromittiertes Zertifikat missbraucht werden kann. Denn selbst wenn kompromittierte Zertifikate unentdeckt bleiben, verlieren sie nach kurzer Zeit automatisch ihre Gültigkeit. Ein neues Zertifikat ersetzt die vorherige kryptographische Identität.

Kurze Laufzeiten unterstützen zudem die kryptographische Agilität. Neue Algorithmen und andere Schlüssellängen lassen sich schneller einführen. Damit wird der Zertifikatslebenszyklus zu einem aktiven Bestandteil der Sicherheitsarchitektur.

Wie sich die Erneuerungsfrequenz verändert

Laufzeit

398 Tage

200 Tage

100 Tage

47 Tage

Erneuerungen pro Jahr

etwa 1

etwa 2

etwa 3 bis 4

etwa 8

Diese Entwicklung erhöht den administrativen Aufwand. Eine Infrastruktur mit 1.000 Zertifikaten erzeugt bei einer Laufzeit von 398 Tagen etwa 1.000 Prozesse pro Jahr. Bei 100 Tagen steigt diese Zahl auf rund 3.500. Bei 47 Tagen entstehen etwa 8.000 Zertifikatserneuerungen pro Jahr.

Der Zertifikatslebenszyklus wird damit zu einem kontinuierlichen Prozess, der dauerhaft überwacht und gesteuert werden muss. Manuelle Verfahren stoßen dabei schnell an ihre Grenzen.

Grenzen manueller Zertifikatsverwaltung

Viele Organisationen verwalten TLS-Zertifikate weiterhin manuell. Zertifikate werden bestellt, validiert und anschließend installiert.

Ein typischer Ablauf umfasst:

  • Generierung eines Schlüsselpaares
  • Beantragung eines Zertifikats
  • Domain Validierung
  • Ausstellung durch eine Certification Authority
  • Installation auf Servern oder Gateways
  • Überwachung der Laufzeit
  • Zertifikate erneuern

Kürzere Laufzeiten treiben die Anzahl dieser Prozesse deutlich in die Höhe und erhöhen damit den operativen Aufwand.
Manuelle Verfahren führen häufig zu Problemen wie

  • Unvollständige Dokumentation
  • Fehlerhafte Zertifikatsketten
  • Nicht überwachte Systeme
  • Abgelaufene Zertifikate auf Webservern

Läuft ein Webserver-Zertifikat ab, zeigen Browser sofort eine Sicherheitswarnung. Dienste sind dann nicht mehr erreichbar. Administratoren müssen abgelaufene Zertifikate erneuern, bevor der Betrieb wiederhergestellt ist.

Zertifikatslebenszyklus als Infrastrukturprozess

Mit kurzen Laufzeiten verändert sich das Zertifikatsmanagement (certificate lifecycle management).
Die oben beschriebenen Prozesse laufen in kurzen Abständen und betreffen viele Systeme gleichzeitig. In großen Umgebungen betrifft dies tausende Zertifikate.
Ausstellung, Validierung, Installation und Erneuerung erfolgen parallel und kontinuierlich. Dadurch entsteht ein dauerhafter Betriebsprozess. Der Zertifikatslebenszyklus wird damit Teil der Infrastruktur.

Gleichzeitig wird die vollständige Übersicht über alle Zertifikate entscheidend. In vielen Umgebungen existieren Zertifikate, die nicht zentral erfasst sind. Diese Schattenzertifikate entziehen sich der Überwachung. Sie entstehen beispielsweise durch IoT- oder OT-Geräte, auf denen Zertifikate bereits vorinstalliert sind und die ohne zentrale Erfassung in die Infrastruktur integriert werden.

Kurze Laufzeiten führen dazu, dass auch solche Schattenzertifikate früher ablaufen, wodurch es zu Störungen kommen kann. Spätestens in diesem Moment werden sie sichtbar und sollten in ein zentrales Zertifikatsmanagement aufgenommen werden.

Automatisierung als Voraussetzung für kurze Laufzeiten

Die steigende Anzahl an Prozessen macht also Automatisierung notwendig.
Ein verbreiteter Ansatz hierfür ist das ACME Protokoll. Systeme können damit Zertifikate automatisch beantragen, validieren und installieren.
Ein automatisierter Ablauf umfasst:

  • Überwachung der Zertifikate Laufzeit
  • Generierung neuer Schlüssel
  • Domain-Validierung
  • Ausstellung eines neuen Zertifikats
  • Automatische Installation

Viele Systeme erneuern Zertifikate bereits, bevor ein Zertifikat abläuft. Dadurch entsteht ein stabiler Betrieb.
Automatisierung reduziert menschliche Fehler, entlastet Administratoren und stabilisiert den Betrieb. Gleichzeitig verringert sie den manuellen Aufwand für wiederkehrende Aufgaben, die sonst hochqualifizierte IT-Ressourcen binden und entsprechende Kosten verursachen. So entstehen Freiräume für komplexere Aufgaben. Ein Invest in Zertifikatsmanagement macht sich schon in kurzer Zeit bezahlt.
Weitere Hintergründe zur Automatisierung im Zertifikatsmanagement finden sich im Beitrag Zertifikate verwalten: Sicher, effizient und compliant.

Bedeutung zentraler Zertifikatslösungen

Neben Automatisierung wird auch die zentrale Steuerung immer wichtiger.
In modernen IT-Umgebungen existieren Zertifikate an vielen Stellen:

  • Webserver
  • Containerplattformen
  • APIs
  • Cloud-Systeme
  • IoT-Geräte

Ein zentrales Zertifikatsmanagement erfasst alle Zertifikate und überwacht deren Laufzeit an einer schnell einsichtbaren Stelle.
Für diese Aufgaben stellt essendi it mit den essendi crypto solutions eine Plattform für das Management kryptographischer Identitäten und Zertifikate bereit.
Die Plattform unterstützt Inventarisierung, Lebenszyklussteuerung und Automatisierung von Zertifikaten.
Dazu gehören:

  • essendi cd zur Inventarisierung aller in der Infrastruktur vorhandenen Zertifikate
  • essendi xc zur Automatisierung von Zertifikatsprozessen
  • essendi pki zum Aufbau und Betrieb einer eigenen Public Key Infrastruktur
  • essendi da zur automatischen Verteilung von Zertifikaten auf IoT/OT-Geräte und Anwendungen

Bis auf essendi da sind diese Komponenten unabhängig voneinander einsetzbar. In Kombination entsteht eine Plattform zur durchgängig automatisierten Verwaltung digitaler Zertifikate.
Weitere Informationen auch unter https://www.essendi.de/cs-crypto-solutions/

Abonnieren Sie den kostenfreien
essendi it Newsletter

JETZT ANMELDEN UND INFORMIERT BLEIBEN.