KOSTENLOSE TESTVERSION

Let’s Encrypt 45-Tage-Zertifikat-Ablauf: Überwachung & Mehr

Testversion starten
Unsere Überwachungslösung

TLS-Zertifikatslaufzeiten verkürzen sich schnell – und das verändert, wie jede Organisation Erneuerungen, Validierungen und Ausfallprävention handhabt. Let’s Encrypt hat bestätigt, dass es von 90-Tage-Zertifikaten auf 45-Tage-Zertifikate (mit gestaffelten Rollouts) umsteigen wird und die Wiederverwendungsfenster für die Autorisierung drastisch verkürzt. Gleichzeitig hat das CA/Browser Forum’s Ballot SC-081v3 einen umfassenderen Branchenzeitplan angenommen, der letztendlich öffentliche TLS-Zertifikate bis zum 15. März 2029 auf 47 Tage begrenzt.

Für Teams, die Dutzende – oder Tausende – von Zertifikaten verwalten, ist die eigentliche Geschichte nicht “kürzere Zertifikate.” Es ist höhere Erneuerungsgeschwindigkeit, engere Wiederverwendung von Validierungen und eine viel kleinere Fehlerquote im Betrieb. Die Überwachung und Alarmierung von Websites wird unverzichtbar.

Was ändert sich bei den SSL/TLS-Zertifikatslaufzeiten?

Die 45-Tage-Richtlinie (Let’s Encrypt)

Let’s Encrypt gibt derzeit Zertifikate mit einer Gültigkeit von 90 Tagen aus und wird dies bis 2028 auf 45 Tage reduzieren. Dies ist kein plötzlicher “Schalter umlegen.” Let’s Encrypt führt es schrittweise mit ACME-Profilen:

Datum
Änderung
Wiederverwendung der Autorisierung
Betroffenes Profil
13. Mai 2026 Phase 1
Opt-in tlsserver Profil gibt 45-Tage-Zertifikate aus
30 Tage (unverändert)
Frühzeitige Anwender / Tests
10. Februar 2027 Phase 2
Standard klassisches Profil wechselt zu 64-Tage-Zertifikaten
Reduziert auf 10 Tage
Alle Benutzer, die nicht auf tlsserver oder shortlived sind
16. Feb 2028 Phase 3
Standard klassisches Profil wechselt zu 45-Tage-Zertifikaten
Reduziert auf 7 Stunden
Alle Benutzer im Standardprofil

Wichtigste Erkenntnis

Die Wiederverwendungsperiode der Autorisierung ist ebenso wichtig wie die Lebensdauer des Zertifikats selbst. Es ist der Zeitraum, in dem die vorherige Validierung der Domainkontrolle wiederverwendet werden kann, um zusätzliche Zertifikate auszustellen. Let’s Encrypt wird diesen Zeitraum bis 2028 von 30 Tagen auf nur 7 Stunden reduzieren – was zuverlässige ACME-Automatisierung zwingend erforderlich macht, nicht optional.

Die Branchenbasislinie: 47 Tage (CA/Browser Forum)

Der Beschluss SC-081v3 des CA/Browser Forums führte einen gestaffelten Zeitplan ein, der die maximale öffentliche TLS-Zertifikatsgültigkeit auf 200 Tage (2026), 100 Tage (2027), und 47 Tage (2029). reduziert.

Die “45 Tage” von Let’s Encrypt sind vollständig kompatibel mit der maximalen “47 Tage” der Branche – Let’s Encrypt plant einfach, diesen Endzustand ein Jahr früher zu erreichen, als es das CA/B Forum vorschreibt.

Warum werden die Lebensdauern von Zertifikaten reduziert?

Kürzere Lebensdauern sind ein Sicherheits- und Resilienzspiel, das von vier miteinander verbundenen Zielen getrieben wird:

  • Reduzierter Explosionsradius bei Kompromittierung: Wenn ein privater Schlüssel gestohlen oder ein Zertifikat falsch ausgestellt wird, begrenzt eine kürzere Gültigkeit, wie lange dieses Zertifikat missbraucht werden kann.
  • Effektiveres Widerrufsökosystem: Kürzerlebige Zertifikate verringern die Abhängigkeit davon, dass der Widerruf perfekt ist, und Let’s Encrypt stellt fest, dass kürzere Lebensdauern die Widerrufstechnologien effizienter machen.
  • Weniger veraltete Validierungsdaten: Die Änderungen des CA/B verringern auch, wie lange die Validierung von Domain und IP wiederverwendet werden kann – bis auf 10 Tage bis März 2029.
  • Drang zur Automatisierung und Agilität: Browser- und Root-Programme ermutigen ausdrücklich zur Automatisierung, da sie kürzere Lebenszyklen mit weniger Ausfällen und schnelleren Sicherheitsverbesserungen ermöglichen.

Zeitlinie der Reduzierungen der Zertifikatslebensdauer

Hier ist die praktische Geschichte hinter dem Fortschritt von 825 Tagen auf 45 Tage:

Maximale Gültigkeit
Ära
Wichtiger Treiber
825 Tage
Maximalwert vor 2020
Keine durchgesetzte Branchenobergrenze
398 Tage
September 2020 und später
Apple setzte eine maximale Gültigkeit von 398 Tagen für nach dem 1. September 2020 ausgestellte Zertifikate durch; nicht konforme Zertifikate verursachen Verbindungsfehler
90 Tage
Let’s Encrypt Norm (2014–2027)
Let’s Encrypt hat die Erwartung “automationsnative” geschaffen; Das Sicherheitsteam von Chrome betonte die Automatisierung für Agilität und Resilienz
45 / 47 Tage
Ziel 2028–2029
Let’s Encrypt erreicht 45 Tage (16. Februar 2028); CA/B Forum begrenzt die Branche auf 47 Tage (15. März 2029)

Branchenspezifische Auswirkungen des 45-Tage-Zertifikatswechsels

Dies ist keine Änderung, die nur Let’s Encrypt betrifft. Let’s Encrypt erklärt ausdrücklich, dass es “gemeinsam mit dem Rest der Branche” unter den Baseline-Anforderungen des CA/Browser Forums voranschreitet und dass alle öffentlich vertrauenswürdigen CAs ähnliche Änderungen vornehmen werden.

Wie sich dies auf Let’s Encrypt und andere CAs auswirkt

  • Die Geschwindigkeit der Erneuerung wird zum Standardbetriebsmodus: Bis 2029 leben Organisationen effektiv in einem kontinuierlichen Erneuerungszyklus – insbesondere in großem Maßstab.
  • Die Wiederverwendung von Validierungen schrumpft dramatisch: Die Wiederverwendung von Domain- und IP-Validierungen wird bis März 2029 auf 10 Tage sinken, was manuelle oder gelegentliche Prozesse fragil macht.
  • ACME und Erneuerungsintelligenz werden wichtiger: Let’s Encrypt empfiehlt die Verwendung von ACME Renewal Information (ARI), damit die Kunden wissen, wann sie erneuern müssen, und warnt, dass fest codierte Erneuerungsintervalle wie “alle 60 Tage” in einer 45-Tage-Welt nicht funktionieren werden.
  • Neue Validierungsansätze entstehen: Let’s Encrypt arbeitet an DNS-PERSIST-01, um die betriebliche Belastung durch häufige Domainvalidierungen zu reduzieren, indem ein persistenter DNS TXT-Eintrag ermöglicht wird – erwartet im Jahr 2026.

Betriebliche Herausforderungen von 45-Tage-Zertifikaten

45-Tage-Zertifikate bedeuten nicht nur “erneuern Sie doppelt so oft.” Sie verändern grundlegend die Fehlerarten:

  • Kleinere Puffer für Fehler: Ein verpasstes Erneuerungsfenster kann schnell zu Ausfallzeiten für die Benutzer führen.
  • Mehr bewegliche Teile: Lastenausgleicher, CDNs, Kubernetes-Ingress, Service-Meshes, API-Gateways und Legacy-Geräte müssen möglicherweise alle koordiniert aktualisiert werden.
  • Validierungsfriktionen: Mit der Wiederverwendung von Autorisierungen, die bis 2028 auf 7 Stunden für Let’s Encrypts klassisches Profil sinkt, muss die Automatisierung von DNS/HTTP-Herausforderungen zuverlässig sein – nicht “bestmöglich”.
  • Inventarblindstellen: Die meisten Ausfälle treten bei “vergessenen” Zertifikaten auf – nicht-produktive Endpunkte, die in die Produktion befördert wurden, alte Subdomains, partnerverwaltete Domains oder Zertifikate, die in Geräten und Middleware eingebettet sind.
  • Überkopf bei Änderungsmanagement: Häufigere Zertifikatsrotation erhöht die Wahrscheinlichkeit von Fehlkonfigurationen: falsche Kette, unvollständige Kette, Hostnamen-Mismatch oder Bereitstellung nur auf einigen Knoten.

Da viele dieser Fehlerarten nach der Ausstellung des Zertifikats auftreten – während der Verbreitung, Neuladungen, Edge-Caching oder teilweisen Rollouts – profitieren Teams davon, eine externe Validierung hinzuzufügen: Überprüfungen, die bestätigen, was echte Kunden in der Produktion erhalten, und nicht nur, was interne Protokolle sagen, dass passiert ist.

Warum die Überwachung des Zertifikatsablaufs entscheidend ist

Let’s Encrypt selbst empfiehlt, über ausreichende Überwachung zu verfügen, um zu alarmieren, wenn Zertifikate nicht wie erwartet erneuert werden, unter Verwendung eines SSL-Überwachungstools. In der Praxis ist die Überwachung das, was erfasst:

  • Erneuerungsautomatisierung, die stillschweigend fehlgeschlagen ist;
  • Zertifikate, die “außerhalb des Zyklus” ablaufen aufgrund von Neuausstellungen;
  • Ketten- oder Ausstelleränderungen;
  • Hostname-Mismatches und unvollständige Bereitstellungen.

Ohne ordnungsgemäße Überwachung können SSL-Zertifikate dazu führen, dass Browser Warnungen wie “Ihre Verbindung ist nicht privat” anzeigen, die SEO-Rankings über Nacht schädigen und Besucher daran hindern, auf Ihre Website zuzugreifen. Die Folgen sind sofort und messbar – und mit 45-Tage-Zertifikaten, die ungefähr alle 30 Tage erneuert werden, ist das Zeitfenster, um einen stillen Fehler zu erfassen, bevor er zu einem für den Benutzer sichtbaren Ausfall wird, erheblich enger.

🔍  Wie Dotcom-Monitor Ihre Zertifikate gültig hält

Die SSL-Zertifikatsüberwachung von Dotcom-Monitor fungiert als intelligenter, immer aktiver Zertifikatsprüfer, der regelmäßige Überprüfungen von 30+ globalen Standorten durchführt. Sobald Sie eine Domain hinzufügen, beginnt die Plattform, das Zertifikat auf die gleiche Weise zu validieren, wie es echte Benutzer auf der ganzen Welt erleben – indem sie einen vollständigen TLS-Handshake durchführt, nicht nur einen Ping.

Für jede überwachte Domain oder jeden Endpunkt überprüft die Plattform automatisch:

  • Integrität der Zertifikatkette und Richtigkeit des Ausstellers;
  • Ablaufdaten und Countdown der verbleibenden Tage;
  • SAN- und Hostnamenabgleich;
  • Alle potenziellen Mismatches, ungültigen Antworten oder nicht vertrauenswürdigen Aussteller;
  • Konfigurationsgesundheit über alle überwachten Geräte hinweg.

Alle Ergebnisse werden in einem echtzeit, zentralen Dashboard mit intelligenter Sortierung und Filterung angezeigt – sodass Teams Probleme erkennen können, bevor sie eskalieren, egal ob sie eine Handvoll Domains oder Hunderte verwalten.

Automatisierungsrisiken in einer 45-Tage-Welt

Kürzere Zertifikatslaufzeiten erhöhen die Häufigkeit von Erneuerungsereignissen und damit die Wahrscheinlichkeit von Automatisierungsfehlern. In einem 45-Tage-Zyklus treten selbst kleine operationale Schwächen schneller und häufiger zutage.

Warum Automatisierung allein in einer 45-Tage-Welt häufiger versagen wird

Die häufigsten Fehlerpunkte sind:

  • DNS-01-Einträge, die langsamer als erwartet propagieren;
  • HTTP-01-Herausforderungen, die von CDN- oder WAF-Schichten abgefangen werden;
  • Fehlkonfigurierte Firewall-Richtlinien, die die Validierung blockieren;
  • ACME-Rate-Limits, die während der Wiederholungen ausgelöst werden;
  • Container, die Zertifikatsverzeichnisse während Neustarts verlieren;
  • Systemd-Timer, die stillschweigend fehlschlagen;
  • Lastenausgleicher, die das aktualisierte Zertifikat niemals neu laden.

Wichtig:

Diese Probleme wurden nicht zu neuen Problemen – sie wurden dringende Probleme. Wenn Erneuerungen doppelt so oft durchgeführt werden, steigt die Wahrscheinlichkeit, auf eine dieser Bedingungen zu stoßen, proportional. Automatisierung bleibt unerlässlich, aber ohne externe Erkennung funktioniert sie blind gegenüber der Bereitstellungsseite des Lebenszyklus.

🔍  Wie Dotcom-Monitor Erneuerungsfehler erkennt

Wenn die ACME-Automatisierung stillschweigend fehlschlägt – ein systemd-Timer, der nicht ausgelöst wurde, eine DNS-Herausforderung, die abgelaufen ist, ein Lastenausgleich, der nie neu geladen wurde – fängt Dotcom-Monitor dies durch kontinuierliche Outside-in-Validierung auf. Die Plattform sendet sofortige Benachrichtigungen, sobald sie ein Zertifikat erkennt, das kurz vor dem Ablauf steht oder bereits in einem ungültigen Zustand ist, unabhängig davon, was Ihre internen Automatisierungsprotokolle berichten.

Benachrichtigungen werden über die Kanäle geliefert, die Ihr Team bereits nutzt:

  • E-Mail
  • SMS
  • Slack
  • Microsoft Teams
  • PagerDuty
  • Webhooks

Anpassbare Alarmgrenzen bedeuten, dass Sie Warnungen genau zur richtigen Zeit erhalten – nicht zu früh, um Alarmmüdigkeit zu verursachen, und nicht zu spät, um einen Ausfall zu verhindern. Jeder Alarm identifiziert klar das Zertifikat, die Domain und die empfohlene Maßnahme.

Das verborgene Risiko: Bereitstellungsdrift nach der Erneuerung

Der Erfolg der Erneuerung ist nicht gleichbedeutend mit dem Erfolg der Bereitstellung. In verteilten Umgebungen weichen diese beiden Zustände häufig voneinander ab. Diese Abweichung wird als Bereitstellungsdrift bezeichnet – und sie ist einer der am meisten unterschätzten TLS-Fehlermodi. Häufige Ursachen sind:

  • CDNs, die weiterhin zwischengespeicherte Zertifikatketten nach Aktualisierungen des Ursprungs bereitstellen;
  • Lastenausgleicher in mehreren Regionen, die in einer Region aktualisiert werden, aber nicht in einer anderen;
  • Kubernetes-Pods, die aktualisierte TLS-Geheimnisse nicht neu laden;
  • Reverse Proxys, die vollständige Neustarts erfordern, um neue Schlüsselpaare zu übernehmen;
  • Edge-Knoten, die während rollierender Infrastrukturaktualisierungen hinterherhinken.

Wichtigste Erkenntnis

Unter einem 90-Tage-Zyklus war Drift ein gelegentliches Ereignis. Unter einem 45-Tage-Zyklus wird Drift statistisch wahrscheinlicher, es sei denn, er wird ausdrücklich überwacht. Kürzere Lebensdauern erhöhen nicht nur die Häufigkeit der Erneuerung – sie erhöhen das Risiko der Verbreitung über verteilte Systeme.

Warum externe Zertifikatsüberwachung die zuverlässigste unabhängige Überprüfung ist

Interne Systeme beobachten die Erneuerungspipeline. Externe Systeme beobachten die Benutzererfahrung. Diese Perspektiven weichen in vielen Fällen voneinander ab. Interne Überwachung kann bestätigen, dass der ACME-Client ausgeführt wurde, das Zertifikat ausgestellt wurde und die Datei auf die Festplatte geschrieben wurde – aber sie kann oft nicht bestätigen, dass das richtige Zertifikat am Edge bereitgestellt wird, dass jede Region aktualisiert ist oder dass die Vertrauenskette vollständig ist.

Externe Überwachung validiert Zertifikate auf die gleiche Weise, wie es Clients tun:

  • Führt einen vollständigen TLS-Handshake durch;
  • Überprüft die Integrität der Kette;
  • Verifiziert die Übereinstimmung von SAN und Hostnamen;
  • Erkennt unerwartete Änderungen bei Ausstellern/Ketten;
  • Bestätigt Ablaufdaten in der Produktion

Wichtigste Erkenntnis

Am wichtigsten ist, dass externe Überwachung von verteilten geografischen Standorten aus durchgeführt werden kann, was hilft, regionale Drift und Inkonsistenzen am CDN-Edge zu erkennen, die ein einzelner interner Standpunkt übersehen wird. Outside-in-Überprüfungen sind der zuverlässigste Weg, um zu validieren, dass der Erfolg der Erneuerung in eine korrekte Produktionsbereitstellung umgesetzt wurde.

🔍  Warum Dotcom-Monitor die unabhängige Überprüfung ist, die Ihr Automatisierungs-Stack benötigt

Dotcom-Monitor überprüft Ihre Zertifikate auf Servern weltweit und liefert genaue Ergebnisse für internationalen Verkehr und gewährleistet kontinuierliche SSL-Überwachung, unabhängig davon, wo Ihre Zertifikate gehostet werden. Diese globale Reichweite ist besonders wichtig für Websites mit verteilter Infrastruktur – CDN-Edges, Lastenausgleicher in mehreren Regionen und Kubernetes-Cluster – wo ein Zertifikat am Ursprung korrekt erneuert werden kann, aber noch nicht an jeden Edge-Knoten propagiert wurde.

Die Plattform unterstützt die Überwachung über Edge-Netzwerke, Lastenausgleicher und CDNs – genau die Schichten, in denen Bereitstellungsdrift am häufigsten auftritt. Sie unterstützt auch geplante globale Berichte (täglich, wöchentlich oder monatlich), die Zeitpläne, Statusaktualisierungen und die Gesundheit von Zertifikaten über alle überwachten Geräte hinweg zusammenfassen, wodurch manuelle Arbeiten reduziert und die Sichtbarkeit zwischen den Teams unterstützt wird.

Für compliance-orientierte Organisationen erstellt Dotcom-Monitor exportierbare Prüfberichte, die Zertifikatsdetails, Ausstellerinformationen, Aufzeichnungen der Vertrauenskette und Fehlerprotokolle enthalten – alles, was Prüfer typischerweise an einem Ort benötigen.

Eine Überwachungsstrategie für kurzlebige Zertifikate entwickeln

Ein 45-Tage-Zertifikatslebenszyklus erfordert mehr als einen grundlegenden Ablaufalarm. Die Überwachung muss sich von “Erinnere mich, bevor es abläuft” zu “kontinuierlich die korrekte Bereitstellung überprüfen” weiterentwickeln.

Beginnen Sie mit einem vollständigen Inventar

Die meisten Ausfälle entstehen aus blinden Flecken. Stellen Sie sicher, dass die Überwachung alle öffentlichen Websites und Subdomains, APIs und partnerorientierte Endpunkte, CDN-Edges und Ursprungsserver, interne Gateways, die extern exponiert sind, sowie veraltete Infrastruktur und Geräte umfasst. Unüberwachte Endpunkte sind unmanaged Risiko.

1

Überwachung von mehreren globalen Standorten

Eine einzelne Probe kann regionale Abweichungen, Inkonsistenzen am CDN-Rand oder ISP-spezifische Vertrauenskettenprobleme nicht erkennen. Globale Validierung gewährleistet die Korrektheit der Kette überall, Konsistenz von Region zu Region und den Erfolg der Randverbreitung. Dotcom-Monitor überprüft von über 30 globalen Standorten, wodurch diese Mehrstandortprüfungen wiederholbar und konsistent nach einem Zeitplan sind — ohne manuellen Aufwand nach der Ersteinrichtung.

2

Mehr als nur das Ablaufdatum validieren

Das Ablaufdatum ist nur ein Fehlerfall. Die Überwachung sollte auch Folgendes überprüfen:

  • Vollständige Vertrauenskette und korrekte Zwischen-CA;
  • SAN/Hostname-Genauigkeit;
  • Kompatibilität von Chiffre und Protokoll;
  • Unerwartete Änderungen des Ausstellers.
3

Auslösen der Validierung nach der Erneuerung

Erneuerungsereignisse sollten automatisch sofortige Produktionsvalidierung, Zertifikatsvergleiche über mehrere Regionen und Kettenüberprüfungen einleiten. Abweichungen treten am häufigsten unmittelbar nach der Erneuerung auf — nicht vor dem Ablaufdatum.

4

Verwenden Sie gestaffelte Warnungen für einen 45-tägigen Lebenszyklus

Bei komprimierten Lebensdauern ist das Timing von Warnungen wichtiger. Dotcom-Monitor ermöglicht vollständig anpassbare Warnschwellen, sodass Sie ein strukturiertes Eskalationsmodell für einen 45-tägigen Zertifikatslebenszyklus konfigurieren können:
20
TAGE VERBLEIBEND
Informativ
10
TAGE VERBLEIBEND
Warnung
5
TAGE VERBLEIBEND
Kritisch
0
HANDSHAKE-FAILURE
Sofort
5

Abschließende Gedanken: Überwachung & Erkennung im 45-Tage-Zeitalter

Kurzlebige Zertifikate verbessern die Sicherheitslage. Sie komprimieren auch die operationale Toleranz und reduzieren das Zeitfenster zur Erkennung von Konfigurations- oder Bereitstellungsfehlern. Automatisierung bleibt zwingend erforderlich – aber Automatisierung ohne Überprüfung wird in großem Maßstab fragil.

Der echte operationale Wandel im 45-Tage-Zeitalter ist dieser:

  • Die Erneuerung ist kontinuierlich;
  • Die Wiederverwendungsfenster für Validierungen schrumpfen;
  • Bereitstellungsdrift wird statistisch häufiger;
  • Externe Überprüfung wird zwingend erforderlich

Dotcom-Monitor’s SSL-Zertifikatsüberwachung ist speziell für genau dieses Umfeld konzipiert. Es bietet eine externe Validierung der Korrektheit der Kette, der Hostnamen-Ausrichtung, des Ablaufstatus und der globalen Bereitstellungskonsistenz – aus über 30 Standorten weltweit, mit Echtzeitwarnungen, die an Slack, Teams, E-Mail, SMS und PagerDuty gesendet werden. Egal, ob Sie eine einzelne Domain oder Hunderte verwalten, die Plattform hält jedes Zertifikat organisiert, verfolgt und automatisch überprüft.

🔍  Was macht Dotcom-Monitor zur richtigen Wahl für das 45-Tage-Zeitalter

Da die TLS-Lebensdauern in der Branche kürzer werden, werden Erkennung und Überprüfung zu grundlegenden Kontrollen anstelle von optionalen Sicherheitsmaßnahmen. Hier ist, was Dotcom-Monitor liefert, was interne Automatisierung allein nicht kann:

Fähigkeit
Was es löst
30+ globale Überwachungsstandorte
Erkennt regionale Drift und Inkonsistenzen an CDN-Edge
Vollständige TLS-Handshake-Validierung
Bestätigt, was echte Benutzer erhalten, nicht nur, was interne Protokolle melden
Ketten- & Ausstellerüberprüfung
Erfasst unvollständige Ketten, falsche Zwischenstellen und unerwartete Änderungen des Ausstellers
Anpassbare Ablaufwarnschwellen
Gestaffelte Warnungen bei 20, 10, 5 Tagen — kalibriert für 45-tägige Lebenszyklen
Slack, Teams, PagerDuty, SMS-Warnungen
Erreicht die richtige Person über den richtigen Kanal, sofort
Automatisierte geplante Berichte
Audit-fähige Exporte mit Aussteller-, Ketten-, Algorithmus- und Fehlermeldungen
Edge-, CDN- und Lastenausgleichsunterstützung
Überwacht die genauen Schichten, in denen die Bereitstellungsabweichung am häufigsten auftritt
Zentralisiertes Multi-Domain-Dashboard
Einheitliche Übersicht für Teams, die Dutzende oder Hunderte von Zertifikaten verwalten
Kostenlose Testversion starten — Keine Kreditkarte erforderlich

FAQ: Let’s Encrypt 45-Tage-Zertifikat-Ablauf

Wann wird Let's Encrypt beginnen, 45-Tage-Zertifikate auszustellen?
Let's Encrypt führt 45-Tage-Zertifikate schrittweise ein: Ein optionales tlsserver ACME-Profil beginnt am 13. Mai 2026, und das Standard-classic Profil erreicht 45 Tage am 16. Februar 2028. Änderungen werden etwa einen Monat vor jedem Produktionsdatum in der Testumgebung bereitgestellt.
Ist der neue Standard 45 Tage oder 47 Tage?
Das Ballot SC-081v3 des CA/Browser-Forums begrenzt öffentliche TLS-Zertifikate auf 47 Tage, beginnend am 15. März 2029. Let's Encrypt plant, 45-Tage-Zertifikate früher (bis Februar 2028) auszustellen, was unter dieses Branchenmaximum fällt. Beide Zahlen beschreiben denselben Endzustand – Let's Encrypt erreicht ihn einfach ein Jahr vor der Frist des CA/B-Forums.
Wie oft müssen Zertifikate mit 45 Tagen Gültigkeit erneuert werden?
Die meisten Teams erneuern etwa zwei Drittel der Lebensdauer des Zertifikats – was bedeutet, dass sie ungefähr alle 30 Tage bei 45-Tage-Zertifikaten erneuern. Let's Encrypt warnt ausdrücklich, dass fest codierte Erneuerungsintervalle wie "alle 60 Tage" in einer 45-Tage-Welt fehlschlagen werden. Die Verwendung von ACME Renewal Information (ARI) ist der empfohlene Ansatz.
Was passiert, wenn ein SSL/TLS-Zertifikat abläuft?
Benutzer sehen Sicherheitswarnungen des Browsers oder schwerwiegende Verbindungsfehler, die den Zugriff blockieren und Transaktionen stören. Abgelaufene Zertifikate können auch das Crawlen von Suchmaschinen und die Überwachung der Betriebszeit stören. Bei 45-Tage-Zertifikaten ist das Zeitfenster zwischen einer versäumten Erneuerung und einem für den Benutzer sichtbaren Ausfall erheblich kürzer als bei 90-Tage-Zertifikaten.
Beeinflusst die Reduzierung des CA/Browser-Forums DV-, OV- und EV-Zertifikate?
Ja. Der Zeitplan des CA/Browser-Forum-Wahl SC-081v3 gilt für alle öffentlich vertrauenswürdigen TLS-Zertifikatstypen — DV, OV und EV — und reduziert auch, wie lange Domain- und IP-Validierungsdaten wiederverwendet werden können (bis auf 10 Tage bis März 2029).
Was ist der "Autorisierungswiederverwendungszeitraum" und warum ist er wichtig?
Der Autorisierungswiederverwendungszeitraum ist das Zeitfenster, in dem die vorherige Domainkontrollvalidierung wiederverwendet werden kann, um zusätzliche Zertifikate auszustellen, ohne die Kontrolle erneut nachweisen zu müssen. Let's Encrypt wird dies von 30 Tagen auf nur 7 Stunden bis Februar 2028 reduzieren. Dies macht eine zuverlässige Automatisierung von DNS- und HTTP-Herausforderungen zwingend erforderlich — manuelle oder seltene Validierungsprozesse werden nicht tragfähig sein.
Was ist ARI (ACME Renewal Information)?
ACME Renewal Information (ARI) ist eine Protokollerweiterung, die es Let's Encrypt ermöglicht, ACME-Clients genau zu signalisieren, wann sie ein Zertifikat erneuern sollten. Let's Encrypt empfiehlt, ARI zu aktivieren, um sicherzustellen, dass die Erneuerungen im Zeitplan bleiben, während die Lebensdauern sinken, anstatt sich auf fest codierte Intervalle zu verlassen.
Wie kann Dotcom-Monitor helfen, Ausfälle durch Zertifikatsablauf zu verhindern?
Das SSL-Zertifikatsmonitoring von Dotcom-Monitor führt externe Überprüfungen der Zertifikatsgültigkeit, der Korrektheit der Kette und der Ausrichtung des Hostnamens von mehreren globalen Standorten aus durch, mit gestaffelten Benachrichtigungen per E-Mail, SMS, Slack und Teams. Dies hilft Teams, Erneuerungsfehler, Bereitstellungsabweichungen und regionale Inkonsistenzen zu erkennen, bevor Benutzer betroffen sind.
Matthew Schmitz
About the Author
Matthew Schmitz
Leiter für Last- und Performance-Tests bei Dotcom-Monitor

Als Leiter für Last- und Performance-Tests bei Dotcom-Monitor führt Matt derzeit ein Team außergewöhnlicher Ingenieure und Entwickler, die gemeinsam innovative Lösungen für Last- und Performance-Tests entwickeln, um selbst die anspruchsvollsten Anforderungen von Unternehmen zu erfüllen.

In this article

Latest Web Performance Articles​

Starten Sie Dotcom-Monitor kostenlos

Keine Kreditkarte erforderlich

Jetzt kostenlos starten