Dies ist die erste Stufe der Laufzeitverkürzung für TLS/SSL-Zertifikate, die das CA/Browser Forum im April 2025 beschlossen hat. Es sind weitere Reduktionen vorgesehen: 100 Tage ab März 2027 und 47 Tage ab März 2029.
Wer oder was ist das CA/Browser Forum?
Das CA/Browser Forum (CABF) ist ein internationales Gremium, in dem Zertifizierungsstellen (Certificate Authorities, CAs) und Hersteller von Webbrowsern zusammenarbeiten. Ziel des Forums ist es, gemeinsame Sicherheits- und Qualitätsstandards für digitale Zertifikate zu entwickeln, die im Internet für verschlüsselte Verbindungen – etwa bei HTTPS – verwendet werden.
Bekannt ist das CABF vor allem für die sogenannten Baseline Requirements. Diese legen fest, wie Identitäten geprüft werden müssen, welche technischen Vorgaben Zertifikate erfüllen sollen und wie Aussteller auf Sicherheitsvorfälle reagieren müssen. Browserhersteller nutzen diese Regeln als Grundlage dafür, welchen Zertifizierungsstellen sie vertrauen.
Durch diese Abstimmung zwischen Ausstellern und Softwareanbietern trägt das Forum maßgeblich dazu bei, dass Nutzer weltweit sichere und vertrauenswürdige Verbindungen zu Websites aufbauen können. Wenn sich Vorgaben ändern – zum Beispiel bei der maximalen Laufzeit von Zertifikaten – gehen solche Entscheidungen häufig auf Abstimmungen innerhalb des CABF zurück.
Was ändert sich am 09.03.2026?
Die Maximale Zertifikatsgültigkeit wird von bisher 365 Tagen auf 198 Tage reduziert.
Alle Zertifikate die bis zum 09.03.2026 ausgestellt werden sind ein Jahr lang gültig.
Was bedeutet dies für die Praxis?
Betrachtet man lediglich die planmäßigen Änderungen wird die Verkürzung der Zertifikatslaufzeit von 356 auf 200 Tage rechnerisch zu einer Erhöhung der regulären Zertifikatsanträge pro Zertifikat und Jahr um ca. 80% führen.
In der Praxis werden insbesondere Multi-SAN-Zertifikate häufig vorzeitig neu ausgestellt, etwa aufgrund von Änderungen der SAN-Einträge. Dieser bereits bestehende Aufwand wird die zusätzliche Belastung durch die verkürzte Laufzeit entsprechend kompensieren.
Kann man das Verfahren vereinfachen?
Das Team der BaK ESV und die die Certificate Authority (SwissSign) arbeiten an einer automatisierten Lösung zum Anfragen von Zertifikaten, sowie einer automatisierten Domain-Validierungsmethode gemäß CA/Browser Forum.