Alle SSL-Artikel SSL & Zertifikate

SSL-Zertifikatsgültigkeit: Die 47-Tage-Änderung erklärt

Das CA/Browser Forum (das Branchengremium, das SSL-Zertifikatsstandards festlegt) hat im April 2025 beschlossen, die maximale Zertifikatsgültigkeit schrittweise von 398 Tagen auf 47 Tage bis März 2029 zu reduzieren. Dies betrifft alle Certificate Authorities — bezahlte und kostenlose gleichermaßen.

Der Zeitplan

StichtagMax. GültigkeitMax. DCV-WiederverwendungAuswirkung
Vor März 2026398 Tage (13 Monate)398 TageAktueller Stand
15. März 2026200 Tage200 TageBezahlte CAs müssen kürzere Zertifikate ausstellen
15. März 2027100 Tage100 TageAnnäherung an Let’s Encrypts 90-Tage-Modell
15. März 202947 Tage10 TageAlle Zertifikate benötigen häufige Erneuerung

DCV-Wiederverwendung = wie lange ein Domain-Validierungsergebnis wiederverwendet werden kann. Bis 2029 muss die Domain-Kontrolle alle 10 Tage erneut überprüft werden, auch wenn das Zertifikat 47 Tage gültig ist.

Warum das passiert

Kurzlebige Zertifikate sind sicherer:

  • Reduziertes Schadensfenster — wenn ein Schlüssel kompromittiert wird, ist der Schaden auf die verbleibende Gültigkeitsdauer begrenzt
  • Schnellerer Widerruf — Widerrufsmechanismen (CRL, OCSP) sind unzuverlässig; kurze Gültigkeit macht sie weniger kritisch
  • Erzwungene Automatisierung — manuelle Erneuerung skaliert bei 47 Tagen nicht, was die Branche zu automatisiertem Zertifikatsmanagement drängt
  • Frische Validierung — häufige Domain-Kontrolle-Validierung erkennt veraltetes DNS, verkaufte Domains oder geänderte Eigentumsverhältnisse schneller

Apple hat diese Änderung vorgeschlagen, und alle vier großen Browser-Hersteller (Apple, Google, Mozilla, Microsoft) stimmten dafür.

Was das für Sie bedeutet

Wenn Sie Let’s Encrypt verwenden (90-Tage-Zertifikate)

Kurzfristig ändert sich nicht viel. Sie erneuern bereits alle 60-90 Tage. Bis 2029 wird Ihr Erneuerungstakt von alle 60 Tage auf etwa alle ~30 Tage verkürzt.

Handlungsbedarf: Stellen Sie sicher, dass Sie eine zuverlässige Erneuerungsautomatisierung haben (Certbot-Cron, acme.sh-Cron) oder einen zuverlässigen manuellen Prozess (GetHTTPS mit Kalendererinnerungen).

Wenn Sie bezahlte Zertifikate verwenden (1-Jahres-Zertifikate)

Das ist eine größere Umstellung. Ab März 2026 sinkt Ihre maximale Gültigkeit auf 200 Tage. Bis 2029 sinkt sie auf 47 Tage — identisch mit dem Modell von Let’s Encrypt.

Handlungsbedarf: Beginnen Sie mit der Planung für Automatisierung. Der Kostenvorteil bezahlter Zertifikate (längere Gültigkeit = weniger Erneuerungen) verschwindet. Viele Organisationen werden zu kostenlosen Let’s Encrypt-Zertifikaten mit automatischer Erneuerung wechseln.

Wenn Sie viele Zertifikate verwalten

47 Tage Gültigkeit über Hunderte von Domains bedeutet Tausende von Erneuerungen pro Jahr. Manuelle Verwaltung wird unmöglich.

Handlungsbedarf: Implementieren Sie ACME-basierte Automatisierung (Certbot, acme.sh oder eine Zertifikatsmanagement-Plattform).

Das Ende von “Einrichten und Vergessen”

Die größte praktische Auswirkung: Sie können nicht mehr ein 1-Jahres-Zertifikat kaufen und es vergessen. Bis 2029 benötigt jede Website eine automatisierte Erneuerungspipeline oder jemanden, der jeden Monat manuell erneuert.

Das schafft gleiche Bedingungen zwischen kostenlosen und bezahlten CAs — wenn alle 47 Tage erneuert wird, verschwindet der Vorteil langer Gültigkeit von bezahlten Zertifikaten vollständig.

Änderungen bei der DCV-Wiederverwendung (oft übersehen)

Derselbe CA/B Forum-Beschluss reduziert auch die Domain Control Validation (DCV)-Wiederverwendungszeiträume:

DatumMax. DCV-Wiederverwendung
Aktuell398 Tage
März 2026200 Tage
März 2027100 Tage
März 202910 Tage

DCV-Wiederverwendung = wie lange eine CA ein früheres Domain-Validierungsergebnis wiederverwenden kann. Bis 2029 muss die CA Ihre Domain-Kontrolle alle 10 Tage erneut überprüfen — auch wenn das Zertifikat 47 Tage gültig ist. Das bedeutet, Validierung kann kein einmaliges Ereignis sein; sie muss vollständig automatisiert werden.

Für ACME-Clients (GetHTTPS, Certbot, acme.sh) ist das nahtlos — jede Erneuerung beinhaltet eine frische Challenge. Für manuelle Workflows mit kommerziellen CAs bedeutet das erheblichen operativen Mehraufwand.

So bereiten Sie sich jetzt vor

Wenn Sie bereits Let’s Encrypt + Certbot/acme.sh verwenden

Sie arbeiten bereits mit 90-Tage-Zertifikaten mit automatischer Erneuerung. Kein Handlungsbedarf. Wenn die Gültigkeit auf 47 Tage sinkt, erledigt das Ihr Cron-Job — er prüft bereits zweimal täglich.

Wenn Sie GetHTTPS verwenden (manuelle Erneuerung)

Derzeit erneuern Sie etwa alle ~60 Tage. Mit 47-Tage-Zertifikaten wird das etwa alle ~30 Tage. Optionen:

  1. Weiterhin manuell — Erinnerungen alle 30 Tage setzen. Machbar für 1-3 Domains.
  2. Hybrid-Ansatz — GetHTTPS für das erste Zertifikat verwenden, dann Certbot für die automatische Erneuerung installieren.
  3. Abwarten — das 47-Tage-Limit gilt ab März 2029. Sie haben Zeit.

Wenn Sie bezahlte 1-Jahres-Zertifikate verwenden

Beginnen Sie jetzt mit der Planung:

  1. Let’s Encrypt evaluieren — bis 2029 werden bezahlte und kostenlose Zertifikate die gleiche Erneuerungshäufigkeit haben. Lohnt sich der Aufpreis?
  2. ACME-Automatisierung implementieren — auch kommerzielle CAs unterstützen ACME (DigiCert, Sectigo)
  3. Budget für Automatisierungstools einplanen — Zertifikatslebenszyklus-Management-Plattformen, wenn Sie 100+ Zertifikate verwalten

Wer hat dafür gestimmt?

Der Beschluss (SC-081) wurde von allen vier großen Browser-Herstellern unterstützt:

  • Apple — hat die Änderung vorgeschlagen
  • Google — stimmte dafür
  • Mozilla — stimmte dafür
  • Microsoft — stimmte dafür

Der Widerstand der CAs war gemischt, aber die Browser-Hersteller haben ein Vetorecht. Die Änderung kommt.

Häufig gestellte Fragen

Wird Let’s Encrypt seine 90-Tage-Gültigkeit ändern?

Let’s Encrypt wird möglicherweise auf 47 Tage reduzieren, wenn die neuen Regeln in Kraft treten, oder bei 90 Tagen bleiben, wenn das noch innerhalb des Maximums liegt. In jedem Fall bleibt der Erneuerungsprozess unverändert — und die meisten Nutzer erneuern bereits am 60. Tag.

Betrifft das bestehende Zertifikate?

Nein. Bereits ausgestellte Zertifikate bleiben bis zu ihrem angegebenen Ablaufdatum gültig. Die neuen Regeln gelten für Zertifikate, die nach den Stichtagen ausgestellt werden.

Sollte ich jetzt zu Let’s Encrypt wechseln?

Wenn Sie für 1-Jahres-Zertifikate bezahlen, verschiebt sich das Kosten-Nutzen-Verhältnis schnell. Das 90-Tage-Modell von Let’s Encrypt ist bereits näher an der 47-Tage-Zukunft, und das Ökosystem (Certbot, acme.sh, GetHTTPS) ist ausgereift. Jetzt zu wechseln bedeutet, dass Sie bereit sind, wenn die Änderung kommt.

Wird das alte Geräte oder Browser beeinträchtigen?

Nein. Die Änderung betrifft die maximale Gültigkeit, nicht das Zertifikatsformat oder die TLS-Version. Alte Geräte, die mit aktuellen Zertifikaten funktionieren, werden auch mit kurzlebigeren funktionieren. Das Gerät weiß nicht und kümmert sich nicht darum, wie lange das Zertifikat gültig ist — es prüft nur das Ablaufdatum.

Was ist mit internen/privaten Zertifikaten?

Diese Änderung gilt nur für öffentlich vertrauenswürdige Zertifikate (die in Browser-Vertrauensspeichern). Interne CAs, die Zertifikate für Unternehmensnetzwerke ausstellen, sind nicht an die Regeln des CA/B Forums gebunden.

Verwandte Artikel

Erste Schritte 2026-05-07
So erneuern Sie ein Let's-Encrypt-Zertifikat
Let's-Encrypt-Zertifikate laufen alle 90 Tage ab. Erfahren Sie, wie Sie mit GetHTTPS (manuell) oder Certbot (automatisch) erneuern und sich auf die 47-Tage-Gültigkeit vorbereiten.
Vergleiche 2026-05-08
GetHTTPS vs Certbot: Welches SSL-Tool sollten Sie verwenden?
Ein detaillierter Vergleich von GetHTTPS und Certbot zum Erhalten kostenloser SSL-Zertifikate von Let's Encrypt. Vergleich von Installation, Workflow, Datenschutz, Automatisierung, Erneuerung und Einsatzszenarien.
SSL & Zertifikate 2026-05-07
SSL-Zertifikatstypen erklärt: DV, OV und EV
Vergleichen Sie Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV) SSL-Zertifikate. Erfahren Sie die Unterschiede bei Verifizierung, Kosten und wann Sie welchen Typ wirklich brauchen.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten