Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

Short-Lived Certificates

Short-Lived Certificates in einfacher Sprache
Zuletzt aktualisiert: 23.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 3 Min.

Short-Lived Certificates (kurzlebige Zertifikate) sind SSL-Zertifikate mit einer bewusst kurzen Gueltigkeitsdauer — von wenigen Stunden bis zu einigen Tagen. Im Gegensatz zu herkoemmlichen Zertifikaten, die bisher bis zu 398 Tage gueltig waren, werden Short-Lived Certificates laufend automatisch erneuert. Dieser Ansatz verringert das Zeitfenster, in dem ein kompromittierter Schluessel missbraucht werden kann, erheblich.

Warum werden die Laufzeiten immer kuerzer?

Die maximale Laufzeit von SSL-Zertifikaten ist in den letzten Jahren schrittweise gesunken. Bis 2015 waren Zertifikate mit fuenf Jahren Laufzeit ueblich, seit 2020 betraegt das Maximum 398 Tage (ca. 13 Monate). Im Herbst 2024 hat Apple dem CA/Browser Forum einen Fahrplan zur weiteren Reduzierung vorgelegt, der einstimmig angenommen wurde:

Ab Maximale Laufzeit Max. Validierungszeitraum (DCV)
15. Maerz 2026 200 Tage 200 Tage
15. Maerz 2027 100 Tage 100 Tage
15. Maerz 2029 47 Tage 10 Tage

Die treibende Kraft hinter dieser Entwicklung ist die Erkenntnis, dass kuerzere Laufzeiten die Sicherheit grundlegend verbessern. Wird ein privater Schluessel kompromittiert, ist ein Zertifikat mit 47 Tagen Laufzeit maximal 47 Tage lang ausnutzbar — statt ueber ein Jahr. Zudem wird die Abhaengigkeit von Widerrufsmechanismen wie CRL und OCSP reduziert, die in der Praxis unzuverlaessig sind.

Was unterscheidet Short-Lived Certificates von normalen Zertifikaten?

Der zentrale Unterschied liegt nicht in der Technik des Zertifikats selbst, sondern in der Art, wie es verwaltet wird:

  • Automatische Erneuerung: Kurzlebige Zertifikate erfordern eine vollautomatische Ausstellung und Installation. Manuelle Prozesse sind bei Laufzeiten von Stunden oder Tagen nicht praktikabel. Das Protokoll ACME ist der Standard dafuer.
  • Kein Widerruf noetig: Bei sehr kurzen Laufzeiten (unter 24 Stunden) wird ein Widerruf weitgehend ueberfluessig. Das Zertifikat laeuft ab, bevor ein Widerrufsprozess ueberhaupt greifen wuerde.
  • Haeufigere Validierung: Die Domain-Kontrolle wird bei jeder Erneuerung erneut geprueft. Damit wird sichergestellt, dass der Zertifikatsinhaber die Domain tatsaechlich noch kontrolliert.
  • Geringeres Schadenpotenzial: Wird ein Schluessel gestohlen, kann er nur fuer die verbleibende Restlaufzeit des Zertifikats missbraucht werden.

Welche Auswirkungen hat das auf Webseitenbetreiber?

Die schrittweise Verkuerzung der Zertifikatslaufzeiten veraendert die Art, wie SSL-Zertifikate verwaltet werden, grundlegend:

  • Automatisierung wird Pflicht: Wer Zertifikate heute noch manuell beantragt, installiert und erneuert, muss diesen Prozess automatisieren. Bei 47 Tagen Laufzeit bedeutet manuelles Management etwa acht Erneuerungen pro Jahr — pro Zertifikat. Bei mehreren Domains und Servern ist das ohne Automatisierung nicht zuverlaessig leistbar.
  • Hosting-Anbieter uebernehmen: Bei Webhosting-Paketen kuemmert sich in der Regel der Anbieter um die Zertifikatsverwaltung. Kunden muessen hier nichts selbst automatisieren — sollten aber pruefen, ob ihr Anbieter die kuerzeren Laufzeiten unterstuetzt.
  • Eigene Server erfordern Anpassung: Wer einen eigenen Server betreibt, muss ACME-Clients wie Certbot oder acme.sh einrichten und sicherstellen, dass die automatische Erneuerung zuverlaessig funktioniert.
  • Monitoring wird wichtiger: Ein fehlgeschlagenes Renewal muss sofort auffallen. Ablaufende Zertifikate fuehren zu Browser-Warnungen und Vertrauensverlust. Monitoring-Tools und ein SSL-Check helfen, Probleme fruehzeitig zu erkennen.

Werden kuerzere Laufzeiten auch fuer OV- und EV-Zertifikate gelten?

Ja. Die vom CA/Browser Forum beschlossene Laufzeitreduzierung gilt fuer alle oeffentlich vertrauten Zertifikate — einschliesslich DV-Zertifikate, OV-Zertifikate und EV-Zertifikate. Bei OV- und EV-Zertifikaten, die eine Organisationspruefung erfordern, wird die Organisationsvalidierung allerdings laenger gueltig bleiben als das einzelne Zertifikat. Nur die Domain-Validierung muss bei jeder Erneuerung wiederholt werden.

Fuer Wildcard-Zertifikate aendert sich an der Funktionsweise nichts — sie muessen lediglich haeufiger erneuert werden.

Fazit

Short-Lived Certificates sind der Zielzustand der SSL-Zertifikatswelt. Die maximale Laufzeit sinkt bis 2029 auf 47 Tage, was manuelle Zertifikatsverwaltung unpraktikabel macht. Automatisierung ueber ACME wird zum Standard. Fuer Webseitenbetreiber bedeutet das eine einmalige Umstellung auf automatische Prozesse — danach profitieren sie von hoeherem Sicherheitsniveau ohne laufenden manuellen Aufwand.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.