In rund hundert Tagen ändern sich die Spielregeln für SSL- und TLS-Zertifikate spürbar. Ab dem 1. Oktober 2026 greift die sogenannte 200-Tage-Regel – und mit ihr eine Routine, die in vielen Unternehmen erst noch aufgebaut werden muss. Wer heute nur die nächsten Renewals plant, übersieht die eigentliche Aufgabe: Es geht nicht darum, eine kürzere Laufzeit einmalig zu akzeptieren, sondern darum, einen Prozess aufzusetzen, der in den kommenden Jahren noch deutlich schneller takten muss.
Was sich am 1. Oktober für Ihre SSL-Zertifikate ändert
Die Entscheidung stammt vom CA/Browser Forum, der maßgeblichen Instanz für öffentlich vertrauenswürdige Zertifikate. Bereits seit März 2026 dürfen neu ausgestellte SSL-Zertifikate höchstens 200 Tage gültig sein. Der 1. Oktober ist der praktische Wendepunkt: An diesem Tag laufen die ersten Zertifikate aus der alten Welt – mit der vertrauten Jahres-Laufzeit – aus und müssen durch die neue, kürzere Variante ersetzt werden. Aus dem Stichtag wird damit ein Dauerzustand.
Die Folgen für den Betrieb sind erheblich. Bislang war ein SSL-Zertifikat eine Aufgabe für einmal im Jahr – beantragen, einbauen, im Kalender den nächsten Eintrag setzen. Mit der neuen Regel kommt schon im selben Kalenderjahr eine zweite Erneuerung dazu. Und damit endet die Verkürzung nicht: Im Frühjahr 2027 sinkt die Laufzeit erneut, zwei Jahre später noch einmal deutlich. Wer heute hundert Zertifikate betreut, hat in wenigen Jahren ein Vielfaches an Renewals zu koordinieren. Genau diese Skalierungsfrage – und nicht der Stichtag selbst – ist die eigentliche strategische Entscheidung der kommenden Monate.
Drei Vorbereitungsstände, die wir aktuell in der Beratung sehen
In den vergangenen Monaten haben wir mit vielen unserer Kunden über genau diese Frage gesprochen. Aus diesen Gesprächen kristallisieren sich drei Reifegrade heraus – mit einer Verteilung, die uns immer wieder begegnet.
Vorbereitet
Diese Unternehmen haben das Thema schon seit 2024 strategisch behandelt. Sie betreiben eine zentrale Zertifikats-Plattform, nutzen das ACME-Protokoll für die operative Erneuerung und haben das DCV-Zonen-Konzept architektonisch verankert. Für sie ist der 1. Oktober kein Stichtag, sondern ein Routine-Datum.
Halb vorbereitet
Hier gibt es eine ACME-Automatisierung für die Standard-Workloads, oft mit Certbot oder cert-manager. Aber das Zertifikats-Portfolio ist heterogen: Legacy-Anwendungen, Hardware-Appliances, Multi-CA-Anforderungen für OV- und EV-Zertifikate, dazu Excel-Listen als Inventar. Diese Unternehmen werden den 1. Oktober überstehen – aber jeder weitere Verkürzungsschritt erhöht den Druck, weil die manuelle Restmenge in den nächsten zwei Jahren strukturell zum Problem wird.
Nicht vorbereitet
Diese Gruppe verwaltet ihre Zertifikate weiterhin in einem Excel-Sheet, mit Kalender-Erinnerungen und individueller Beantragung pro Webserver. Solange jede Erneuerung nur einmal jährlich anstand, war das anstrengend, aber machbar. Mit der Verdopplung der Frequenz ab Oktober und der weiteren Verdopplung ab 2027 ist diese Arbeitsweise an einem Punkt, an dem ein einziger Krankheitsausfall der zuständigen Person zu produktiven Vorfällen führen kann.
Die 100-Tage-SSL-Checkliste
Wer aktuell zwischen den Reifegraden zwei und drei steht, kann in den verbleibenden gut hundert Tagen die wichtigsten Weichen noch stellen. Sechs Schritte sind aus unserer Beratungspraxis entscheidend – die ersten vier lassen sich realistisch noch vor dem 1. Oktober erledigen, die letzten beiden gehören zur Konsolidierung im vierten Quartal.
1) Vollständige Inventarisierung
Ohne belastbare Zahlen zur eigenen Zertifikats-Landschaft lässt sich kein Automatisierungsplan aufsetzen. Wie viele Zertifikate sind im Einsatz? Welche Certificate Authorities sind beteiligt? Welche Validierungsstufen werden gebraucht? Welche Systeme können ACME, welche brauchen eine API-Anbindung, welche bleiben vorerst manuell? Diese Fragen beantwortet man nicht in einer Woche – aber in hundert Tagen mit fokussiertem Vorgehen.
2) Klärung der DNS-Reife
Die Mehrheit der Validierungen in Unternehmensumgebungen läuft über die DNS-01-Challenge. Sie setzt voraus, dass der Validierungs-Pfad sicher und automatisierbar ist. Wer hier noch mit manuellen DNS-Änderungen arbeitet, sollte spätestens jetzt das CNAME-Delegations-Modell prüfen – das DCV-Zonen-Konzept entkoppelt die Validierung von der produktiven DNS-Zone und neutralisiert den größten Angriffsvektor.
3) CA-Strategie definieren
Wer mit mehreren Certificate Authorities arbeitet oder arbeiten muss, sollte die Abhängigkeit von einer einzigen CA bewusst auflösen. Die vergangenen Jahre haben mehrfach gezeigt, dass auch große CAs binnen Tagen Vertrauen verlieren können. Eine Multi-CA-fähige Plattform-Architektur ist die einzige Antwort, die ohne Endsystem-Anpassungen einen kurzfristigen Wechsel erlaubt.
4) Renewal-Pufferzeiten neu kalkulieren
Mit einer Laufzeit von 200 Tagen sind die früher üblichen 30 Tage Vorlauf bis zum Ablauf zu knapp – ein verpasstes Wartungsfenster, eine fehlgeschlagene Challenge, ein Wochenende dazwischen, und der Puffer ist aufgebraucht. Wir empfehlen, die Erneuerung spätestens 45 bis 60 Tage vor Ablauf anzustoßen und das Monitoring auf diese neue Schwelle umzustellen.
5) Verantwortlichkeiten pro Zertifikat klären
In den meisten Unternehmen, die wir beraten, gibt es keine eindeutige Owner-Zuordnung. Wer ist verantwortlich, wenn das SSL-Zertifikat für die Lohnabrechnungs-Anwendung ausläuft? Wer reagiert, wenn ein Renewal scheitert? Solche Fragen lassen sich in der ruhigen Vorbereitungsphase klären – im Vorfall erzeugen sie unnötige Reibung.
6) Eskalations- und Alerting-Konzept
Bei sechs oder mehr Renewals pro Jahr und Zertifikat wird jeder einzelne Ausfall zum potenziellen Produktivvorfall. Standard-Clients liefern lokale Fehlerprotokolle, aber kein systemweites Alerting. Ein zentraler Monitoring-Punkt mit definierten Eskalationspfaden ist keine Option mehr, sondern Voraussetzung – idealerweise direkt mit dem bestehenden ITSM-Tooling verknüpft.
Sie wollen die Checkliste nicht alleine durchgehen?
In einem 30-minütigen Erstgespräch ordnen wir gemeinsam ein, wo Ihr Unternehmen auf der 100-Tage-Skala steht, welche der sechs Punkte für Sie Priorität haben und wo eine Plattform-Lösung den Aufwand am stärksten reduziert. Konkret, auf Ihre Umgebung bezogen, ohne Verkaufsdruck.
Nach Oktober ist vor März 2027
Wer den 1. Oktober als isoliertes Ereignis behandelt, übersieht den eigentlichen Sinn dieser Frist. Die 200-Tage-Regel ist nicht der Endpunkt, sondern der zweite Schritt einer geplanten Verkürzungskette: Im Frühjahr 2027 folgt die nächste Stufe, zwei Jahre später noch eine weitere. Parallel dazu kommt mit Post-Quantum-Kryptographie eine zusätzliche Anforderung, auf die etablierte Certificate Authorities bereits Migrationspfade vorbereiten.
Diese Kette zeigt: Wer im Oktober 2026 nur eine punktuelle Anpassung vornimmt, baut Prozesse, die schon im Folgejahr wieder nachjustiert werden müssen. Wer dagegen jetzt eine Architektur einführt, die mit der absehbaren Frequenzverdopplung mitwächst, hat in zwei Jahren einen entscheidenden Vorsprung. Die Wahl zwischen Eigenbau und Plattform-Lösung ist damit keine reine Tool-Entscheidung mehr, sondern eine strategische.
Eine ausführlichere Übersicht über alle Bausteine – vom Protokoll über die Challenges bis zu den Clients – finden Sie in unserem Themen-Hub zur SSL-Zertifikats-Verlängerung.
Was LEMARIT für die nächsten hundert Tage anbietet
Die LEMARIT Certificate Automation wurde für genau dieses Szenario entwickelt: eine Plattform-Architektur, die ACME-Endpoints und REST-APIs vereint, das DCV-Zonen-Konzept strukturell erzwingt und Multi-CA-Orchestrierung über ein zentrales WebUI ermöglicht. Hosted in Germany, ISO-27001-konform, mit persönlichem Ansprechpartner statt internationalem Ticket-System.
Wenn Sie aktuell zu den halb vorbereiteten Unternehmen gehören, ist jetzt der Zeitpunkt, die verbleibende Zeit bis Oktober strategisch zu nutzen. Wenn Sie noch in der Inventarisierungs-Phase sind, hilft ein erstes Beratungsgespräch dabei, die wichtigsten Weichen rechtzeitig zu stellen.
