1. BrandShelter Hilfe-Center
  2. Zertifikate
  3. SSL-Zertifikate

Verkürzung der SSL/TLS-Zertifikatslaufzeiten – 47-Tage-Zertifikate bis 2029

Das CA/Browser Forum hat Aktualisierungen der TLS-Baseline-Anforderungen genehmigt, durch die sowohl die Laufzeit von SSL/TLS-Zertifikaten als auch die Wiederverwendungsdauer von Domain-Validierungsdaten schrittweise verkürzt werden.

Diese Änderungen führen dazu, dass die Zertifikatslaufzeit bis März 2029 auf 47 Tage reduziert wird. Die ersten kundenrelevanten Auswirkungen beginnen im Februar–März 2026 und gelten für alle großen Zertifizierungsstellen, einschließlich DigiCert und Sectigo.

Zusätzlich gelten neue DNSSEC-Validierungsanforderungen für Domains, bei denen DNSSEC aktiviert ist. Eine fehlerhafte DNSSEC-Konfiguration kann die neue Ausstellung oder wiederholte Ausstellung von Zertifikaten verhindern. 

Branchenweiter Zeitplan zur Verkürzung der Zertifikatslaufzeiten

Der folgende Zeitplan gilt für alle öffentlichen TLS-Zertifikate:

Inkrafttreten Maximale Zertifikatslaufzeit Wiederverwendung der Domain/IP-Validierung
Ab 24. Februar 2026 (DigiCert) 199 Tage 199 Tage
Ab 12. März 2026 (Sectigo) 199 Tage 199 Tage
Ab 15. März 2027 100 Tage 100 Tage
Ab 15. März 2029 47 Tage 10 Tage

Wichtige Hinweise

  • Zertifikate, die vor dem 24. Februar 2026 (DigiCert) oder vor dem 12. März 2026 (Sectigo) ausgestellt wurden, bleiben bis zu ihrem Ablaufdatum gültig.
  • Ab diesen Zeitpunkten dürfen Zertifizierungsstellen keine Zertifikate mehr ausstellen oder erneut ausstellen, die länger als 199 Tage gültig sind  unabhängig von der Bestelldauer.

 

Bestelllaufzeit vs. Zertifikatslaufzeit

Aufgrund der neuen Vorgaben können sich die Laufzeit Ihrer Bestellung und die Gültigkeitsdauer Ihres Zertifikats unterscheiden.

Beispiel: 365-Tage-Bestellung

  • Sie erhalten zunächst ein Zertifikat mit der maximal zulässigen Laufzeit (199 Tage).
  • Vor Ablauf dieses Zertifikats wird ein neues Zertifikat ausgestellt, das die verbleibenden 166 Tage Ihrer Bestellung abdeckt. Diese Neuausstellung erfolgt ohne zusätzliche Kosten.

Browser prüfen ausschließlich, ob das aktuell installierte Zertifikat zum Zeitpunkt der Nutzung gültig ist. Die gesamte Bestelllaufzeit wird nicht überprüft. 

 

Automatischer Zertifikats-Neuausstellungsprozess

  • Zertifikate für die verbleibenden 166 Tage werden automatisch mit Ihren bestehenden Zertifikatsdaten neu ausgestellt. Sie erhalten 4 Wochen vor der Neuausstellung eine Benachrichtigung.
  • Wenn Sie den CSR oder Zertifikatsdaten ändern möchten, müssen diese vor dem in der E-Mail angegebenen Stichtag eingereicht werden.
  • 1 Woche vor Ablauf des 199-Tage-Zertifikats erhalten Sie das neue Zertifikat für den verbleibenden Zeitraum. Wenn keine Änderungen vorgenommen werden, erfolgt die Neuausstellung automatisch, um einen unterbrechungsfreien Betrieb sicherzustellen.

 

Manuelle Neuausstellung von Zertifikaten

  1. Melden Sie sich im BrandShelter-Portal an
  2. Wechseln Sie zum Tab SSL-Zertifikate
  3. Wählen Sie das gewünschte Zertifikat aus
  4. Klicken Sie auf das Menü (Burger-Symbol) neben dem Zertifikat
  5. Wählen Sie Neu ausstellen

 

Vorzeitige manuelle Neuausstellung – Berechnung der Gültigkeit

Wenn Sie das Zertifikat vor Ablauf des 199-Tage-Zertifikats manuell neu ausstellen:

  • Das neue Zertifikat ist ab dem Zeitpunkt der Neuausstellung gültig
  • Es deckt die verbleibende Bestelllaufzeit sowie nicht genutzte Tage des aktuellen Zertifikats ab – bis zu einer maximalen Laufzeit von 199 Tagen

Beispiel: Wenn Sie am 169. Tag des 199-Tage-Zertifikats neu ausstellen, deckt das neue Zertifikat:

  • Die verbleibenden 166 Tage der Bestellung
  • Plus die 30 nicht genutzten Tage des ursprünglichen Zertifikats

 

Änderungen bei der Wiederverwendung der Domain-Validierung (DCV)

DigiCert – Ab 24. Februar 2026

Neue Domains: 

Domains, die ab dem 24. Februar 2026 validiert werden, können für 199 Tage wiederverwendet werden. Eine erneute Validierung ist alle 199 Tage erforderlich (statt bisher 397 Tage).

Bestehende Domains:

  • Domains, die bis einschließlich 9. August 2025 validiert wurden, laufen am 24. Februar 2026 sofort ab
  • Domains, die ab dem 10. August 2025 validiert wurden, bleiben bis zum 24. Februar 2026 gültig und laufen anschließend nach 199 Tagen ab

Sectigo – Ab 12. März 2026

Sectigo wird ab dem 12. März 2026 eine Wiederverwendungsgrenze der Domain-Validierung von 199 Tagen durchsetzen. Nach diesem Datum muss jede Domain-Validierung, die älter als der zulässige Zeitraum ist, vor der Ausstellung oder Neuausstellung eines Zertifikats erneut durchgeführt werden.

Was bedeutet das für Sie?

  • Keine bestehenden Zertifikate werden widerrufen
  • Sie sollten sich darauf vorbereiten, Domains alle 199 Tage erneut zu validieren
  • Eine regelmäßige Überprüfung der Ablaufdaten Ihrer Domain-Validierungen wird dringend empfohlen
  • Die erforderliche Validierungsmethode hängt von Ihrer aktuellen Konfiguration ab (DNS, HTTPS oder E-Mail)

Bei Fragen oder Unterstützungsbedarf wenden Sie sich bitte an Ihren zuständigen Account Manager oder unser Support-Team.

 

DNSSEC-Validierungsanforderung

Ab dem 3. März 2026 wird DigiCert DNSSEC-Validierungsprüfungen für Domains erzwingen, bei denen DNSSEC aktiviert ist. Diese Prüfungen erfolgen im Rahmen der Domainvalidierung (DCV) sowie der CAA-Überprüfung.

Wenn DNSSEC für Ihre Domain aktiviert ist:

  • DigiCert überprüft die DNSSEC-Kette während der Neuausstellung oder Wiederausstellung eines Zertifikats.
  • Eine fehlerhafte DNSSEC-Konfiguration (z. B. abgelaufene Signaturen oder nicht übereinstimmende DS-Records) kann die Neuausstellung oder Wiederausstellung eines Zertifikats verhindern.

Derzeit gilt diese Anforderung ausschließlich für DigiCert-Zertifikate. Andere Zertifizierungsstellen können zukünftig ähnliche Anforderungen einführen.

Domains ohne aktiviertes DNSSEC sind von dieser Anforderung nicht betroffen.
 

Was tun bei einer fehlerhaften DNSSEC-Konfiguration?

Wenn DNSSEC für Ihre Domain aktiviert ist und die Zertifikatsausstellung aufgrund von DNSSEC-Validierungsfehlern fehlschlägt, muss die DNSSEC-Konfiguration möglicherweise aktualisiert werden.

In den meisten Fällen kann dies durch das erneute Generieren der DNSSEC-Signaturen in BrandShelter behoben werden:

  1. Melden Sie sich im BrandShelter-Portal an und öffnen Sie Domains → Portfolio.
  2. Wählen Sie die betroffene Domain aus.
  3. Klicken Sie in der unteren Aktionsleiste auf DNSSEC und wählen Sie Disable DNSSEC.
  4. Wiederholen Sie den Vorgang und wählen Sie Enable DNSSEC, um die DNSSEC-Signaturen neu zu erstellen.

Nach den Änderungen warten Sie bitte 48–72 Stunden, damit sich die DNS-Änderungen vollständig verbreiten, bevor Sie ein Zertifikat beantragen oder neu ausstellen.
 

So überprüfen Sie, ob DNSSEC korrekt konfiguriert ist

Nach Ablauf der Propagierungszeit:

  1. Öffnen Sie in der oberen Navigationsleiste Domain Tools und wählen Sie Dig.
  2. Geben Sie Ihren Domainnamen ein und klicken Sie auf Dig.

Erwartetes Ergebnis

  • status: NOERROR — DNSSEC ist korrekt eingerichtet.
  • status: SERVFAIL oder Meldungen wie RRSIGs Missing — DNSSEC ist weiterhin fehlerhaft konfiguriert.

Wenn die DNSSEC-Validierung nach der Propagierungszeit weiterhin nicht erfolgreich ist, wenden Sie sich bitte an unser Team.

 

FAQ

Werden SSL-Zertifikate teurer?

Nein. Es gibt keine Preiserhöhung.

 

Warum ändern sich die Zertifikatslaufzeiten?

  • Kürzere Laufzeiten verbessern die Sicherheit durch Reduzierung des Risikos von Kompromittierung
  • Verbesserte Compliance
  • Weniger Abhängigkeit von langfristigen Domain-Validierungsdaten
  • Bessere Sicherheitsstandards durch häufigere Zertifikatserneuerung

Browser prüfen nur die aktuelle Gültigkeit des Zertifikats.

 

Warum läuft mein Zertifikat vor dem Ende meiner Bestellung ab?

Branchenvorgaben begrenzen die Zertifikatslaufzeiten. Längere Bestellungen werden daher über mehrere Neuausstellungen erfüllt.

 

Muss ich meine Domains häufiger validieren?

Ja. Die Wiederverwendungsdauer der Domain-Validierung wird 2026 auf 199 Tage reduziert und verkürzt sich in den folgenden Jahren weiter bis auf 10 Tage im Jahr 2029.

 

Sind bestehende Zertifikate betroffen?

Nein. Zertifikate, die vor den jeweiligen Terminen 2026 ausgestellt wurden, bleiben bis zu ihrem Ablauf gültig.

 

Kann ich ein Zertifikat genau für die Zertifikatslaufzeit statt für 365 Tage kaufen?

Derzeit nicht. Um die Umstellung so einfach wie möglich zu halten, werden Zertifikate aktuell mit einer 365-tägigen Laufzeit angeboten. In Zukunft können kürzere Laufzeiten verfügbar gemacht werden.

More articles in this section