Seit dem 15. März 2026 gilt eine neue Regel für SSL/TLS-Zertifikate: Die maximale Gültigkeitsdauer wurde von zuvor 398 Tagen auf 200 Tage halbiert. Was zunächst wie eine technische Randnotiz klingt, hat weitreichende Konsequenzen für Unternehmen jeder Größe. Wer seine Zertifikate noch manuell verwaltet, steht jetzt vor einem ernsthaften Problem.
Warum wurde die Gültigkeitsdauer verkürzt?
Der Schritt kam nicht überraschend. Das CA/Browser Forum, das die Standards für Zertifizierungsstellen und Browser festlegt, hat die schrittweise Verkürzung der Zertifikatslaufzeiten seit Jahren vorangetrieben. Die Begründung ist sicherheitstechnisch nachvollziehbar: Kürzere Gültigkeitszeiträume reduzieren das Risiko, das mit kompromittierten oder fehlerhaft ausgestellten Zertifikaten einhergeht.
Ein Zertifikat, das für einen Angreifer oder durch einen Fehler der Zertifizierungsstelle in falsche Hände gerät, bleibt damit maximal 200 Tage nutzbar — statt fast eineinhalb Jahre. Gleichzeitig zwingt die kürzere Laufzeit Unternehmen dazu, ihre Infrastruktur aktuell und sauber zu halten. Abgelaufene oder veraltete kryptografische Standards werden so schneller aus dem Verkehr gezogen.
Laut BSI-Lagebericht 2025 zählen kompromittierte Zertifikate und fehlerhafte TLS-Konfigurationen weiterhin zu den häufigsten Einfallstoren für Man-in-the-Middle-Angriffe in Unternehmensnetzen.
Was bedeutet das konkret für Ihr Unternehmen?
Wer bisher ein Zertifikat einmal pro Jahr manuell erneuert hat, muss das künftig mindestens zweimal jährlich tun — oder besser: auf vollständige Automatisierung umstellen.
Die Folgen bei Nichtbeachtung sind direkt spürbar:
- Browser-Warnungen: Läuft ein Zertifikat ab, zeigen alle modernen Browser eine Sicherheitswarnung. Besucher verlassen die Seite — und kommen oft nicht zurück.
- API-Ausfälle: Viele Systeme kommunizieren intern über HTTPS. Ein abgelaufenes Zertifikat kann Dienste vollständig lahmlegen.
- Vertrauensverlust: Besonders im B2B-Bereich ist eine gesicherte, vertrauenswürdige Verbindung Voraussetzung für Geschäftsbeziehungen.
- Compliance-Verstöße: In regulierten Branchen kann ein abgelaufenes Zertifikat eine Meldepflicht auslösen oder Audits gefährden.
Laut einer Studie von Bitkom aus dem Jahr 2024 hat jedes dritte Unternehmen in Deutschland mindestens einmal einen Zertifikatsausfall erlebt, der zu Betriebsunterbrechungen geführt hat. Mit der neuen 200-Tage-Regel steigt dieses Risiko für Unternehmen ohne Automatisierung erheblich.
Automatisierung ist kein Luxus mehr — sie ist Pflicht
Die gute Nachricht: Es gibt ausgereifte, kostenlose Lösungen, die das Zertifikatsmanagement vollständig automatisieren. Das ACME-Protokoll (Automatic Certificate Management Environment) ist der De-facto-Standard und wird von allen großen Zertifizierungsstellen unterstützt.
Certbot
Certbot ist das meistgenutzte ACME-Tool und lässt sich auf nahezu jedem Linux-System einsetzen. Es beantragt, erneuert und installiert Zertifikate automatisch — inklusive Neustart der betroffenen Dienste. Ein einfacher Cronjob reicht aus, um sicherzustellen, dass Zertifikate rechtzeitig erneuert werden:
# Automatische Erneuerung zweimal täglich prüfen (empfohlen)
0 0,12 * * * root certbot renew --quiet
Certbot unterstützt unter anderem Apache, Nginx, HAProxy und viele weitere Webserver direkt über Plugins.
Nginx Proxy Manager
Für Umgebungen, die über eine grafische Oberfläche verwaltet werden, ist der Nginx Proxy Manager eine bewährte Wahl. Er integriert Let's Encrypt-Zertifikate direkt in die Verwaltungsoberfläche und erneuert sie automatisch. Besonders in Docker-basierten Setups und Heimnetzwerken oder kleineren Unternehmensumgebungen hat sich dieses Tool etabliert.
Traefik und Caddy
Traefik und Caddy sind moderne Reverse Proxies, die ACME nativ unterstützen. Sie beantragen und erneuern Zertifikate ohne jede manuelle Konfiguration — schlicht durch das Hinterlegen der Domain. Für neue Deployments sind sie heute oft die erste Wahl.
Was Sie jetzt konkret tun sollten
Unabhängig davon, ob Sie ein Unternehmen mit einer Website oder hunderten von Diensten betreiben — der folgende Fahrplan hilft, die Umstellung strukturiert anzugehen:
1. Bestandsaufnahme aller Zertifikate
Verschaffen Sie sich einen vollständigen Überblick: Welche Domains, Subdomains und internen Dienste verwenden TLS-Zertifikate? Tools wie ssl-cert-check, cert-manager (in Kubernetes) oder kommerzielle Monitoring-Lösungen helfen dabei.
2. Ablauffristen prüfen und kalkulieren Mit der neuen 200-Tage-Regel müssen Zertifikate, die nach dem 15. März 2026 ausgestellt werden, spätestens nach 200 Tagen erneuert sein. Empfehlenswert ist eine Erneuerung bei 75–80 % der Laufzeit, also nach etwa 150 Tagen.
3. Automatisierung einrichten Richten Sie ACME-basierte Automatisierung für alle öffentlich erreichbaren Dienste ein. Für interne Dienste empfiehlt sich eine eigene Zertifizierungsstelle (Internal CA) oder ein Dienst, der ACME auch für interne Netze unterstützt (z. B. Step-CA).
4. Monitoring und Alerts konfigurieren
Automatisierung allein reicht nicht. Richten Sie Monitoring ein, das Sie informiert, wenn eine Erneuerung fehlschlägt oder ein Zertifikat kurz vor dem Ablauf steht. Prometheus mit dem ssl_exporter, Grafana Alerts oder einfache Shell-Skripte mit E-Mail-Benachrichtigung sind bewährte Optionen.
5. Wildcard-Zertifikate überdenken
Wildcard-Zertifikate (*.example.com) decken alle Subdomains ab — vereinfachen aber auch die Verwaltung auf Kosten der Granularität. Bei Nutzung des DNS-01-Challenges über ACME lassen sie sich ebenfalls automatisch erneuern.
Interne Dienste nicht vergessen
Ein häufig übersehenes Problem: Interne Dienste und APIs, die über HTTPS kommunizieren, nutzen oft manuell ausgestellte Zertifikate mit langen Laufzeiten. Diese fallen nicht unter Let's Encrypt, sind aber von den neuen Standards für öffentlich vertrauenswürdige Zertifikate indirekt betroffen — denn viele Browser und Betriebssysteme beginnen, auch intern ausgestellte Zertifikate mit langen Laufzeiten kritischer zu behandeln.
Eine interne PKI (Public Key Infrastructure) mit automatischer Erneuerung ist hier die sauberste Lösung.
Fazit
Die Verkürzung auf 200 Tage ist kein bürokratischer Akt — sie ist ein notwendiger Schritt hin zu einer sichereren, agileren Infrastruktur. Wer heute auf Automatisierung setzt, hat morgen weniger Arbeit und deutlich weniger Risiko. Wer wartet, wird früher oder später mit einem Ausfall aufwachen.
Wenn Sie Unterstützung bei der Inventarisierung Ihrer Zertifikate, der Einrichtung von ACME-Automatisierung oder dem Aufbau einer internen PKI benötigen, sprechen Sie uns an. Auch unser Artikel zu Supply Chain Security zeigt, wie Sicherheit auf allen Ebenen gedacht werden muss.