SSL-Zertifikate automatisch verlängern: Wie Unternehmen die 200-Tage-Regel sicher meistern

Ab dem 1. Oktober 2026 endet die Schonfrist – Ihr Zertifikatsmanagement muss bis dahin automatisiert sein

Inhalte

SSL-Laufzeit-Intervalle werden kürzer

Die maximale Laufzeit öffentlich vertrauenswürdiger SSL-/TLS-Zertifikate wurde aus Sicherheitsüberlegungen seit diesem Jahr auf 200 Tage verkürzt. Was nach einer technischen Randnotiz klingt, ist für Unternehmen mit verteilten Domain-Portfolios eine operative Zäsur: Manuelle Prozesse skalieren nicht mehr. Nachdem sich die Laufzeit-Intervalle in den nächsten Jahren immer weiter verkürzen, ist jetzt der richtige Zeitpunkt für Lösungen. LEMARIT Certificate Automation automatisiert die Verlängerung Ihrer DV-Zertifikate – inklusive Wildcard- und Multi-Domain-Varianten (SAN) – über ACME, REST-API oder RFC 2136. Mit Monitoring, Rollout und lückenlosem Audit-Trail. So bleiben Ihre Dienste verfügbar, Ihre Marke sichtbar und Ihre Compliance dokumentiert.

Die 200-Tage-Regel: Warum sich 2026 alles verändert

Mit der Entscheidung des CA/Browser Forums, der maßgeblichen Instanz für die Ausstellung öffentlicher SSL-/TLS-Zertifikate, ist eine schrittweise Verkürzung der maximalen Zertifikatslaufzeit längst beschlossene Sache. Der erste große Schritt ist bereits vollzogen: Seit diesem Jahr beträgt die Maximallaufzeit eines öffentlich vertrauenswürdigen Zertifikats nur noch 200 Tage. Am 1. Oktober 2026 schlägt die Stunde der Wahrheit: Erstmals müssen Unternehmen Zertifikate mit der stark verkürzten Laufzeit operativ erneuern – und das nicht einmalig, sondern fortlaufend, zweimal pro Jahr und Zertifikat.

Was bisher ein planbarer Wartungstermin pro Jahr war, wird damit zur Daueraufgabe. Für Unternehmen mit 50, 500 oder 5.000 Zertifikaten bedeutet das eine Verdopplung – bei zukünftigen Stufen sogar eine Vervielfachung – des Aufwands. Eine manuelle Bearbeitung ist unter diesen Bedingungen weder wirtschaftlich noch sicher.

Der Fahrplan im Überblick

Die Branche bewegt sich auf folgendem Pfad:

Bisher (bis 14. März 2026): 398 Tage maximale Laufzeit
Seit 15. März 2026: 200 Tage maximale Laufzeit
Ab 15. März 2027: weitere Verkürzung auf etwa 100 Tage
Ab 15. März 2029: Reduktion auf rund 47 Tage

Spätestens mit dem dritten Schritt wird klar: Ohne automatisiertes Certificate Lifecycle Management (CLM) ist ein professioneller Betrieb nicht mehr leistbar. Wer jetzt umstellt, profitiert doppelt – zum einen vom unmittelbaren Effizienzgewinn, zum anderen von einer Architektur, die auch die nächsten Verkürzungsstufen mühelos verkraftet.

Warum verkürzen die Browserhersteller die Laufzeit?

Die Begründung des CA/Browser Forums ist sicherheitspolitisch motiviert. Kürzere Laufzeiten begrenzen das Schadenspotenzial kompromittierter Schlüssel, reduzieren die Abhängigkeit von langfristig korrekt gepflegten Zertifikats-Sperrlisten und beschleunigen die flächendeckende Einführung neuer Kryptographie-Standards. Aus Sicht der Browser ist das ein Gewinn an Sicherheit. Aus Sicht der Unternehmen ist es ein Gewinn an Komplexität – wenn man nicht automatisiert.

SSL, TLS, ACME: Die wichtigsten Begriffe schnell erklärt

Bevor wir in die Lösung gehen, ein kurzer Blick auf die Grundlagen. Wer diese Begriffe sauber unterscheidet, trifft im Tagesgeschäft die besseren Entscheidungen.

Was ist ein SSL-/TLS-Zertifikat?

Ein SSL-/TLS-Zertifikat ist ein digitales Dokument, das die Identität eines Servers an einen öffentlichen kryptographischen Schlüssel bindet. Es wird von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, kurz CA) ausgestellt und ermöglicht den verschlüsselten Aufbau einer HTTPS-Verbindung. Auch wenn der Begriff „SSL“ weit verbreitet ist, basiert die heutige Verschlüsselung auf dem moderneren Nachfolgeprotokoll TLS (Transport Layer Security). Im Sprachgebrauch werden beide Begriffe meist synonym verwendet.

Welche Arten von Zertifikaten gibt es?

In Unternehmen kommen drei Validierungsstufen zum Einsatz:

Domain Validation (DV): schnelle, automatisierte Ausstellung, geeignet für nicht-kritische Subdomains.
Organization Validation (OV): zusätzliche Prüfung der Organisation, Standard für Unternehmens-Websites.
Extended Validation (EV): umfangreichste Prüfung der juristischen Identität, häufig für E-Commerce, Banking und kritische Geschäftsanwendungen.

Hinzu kommen technische Varianten wie Wildcard-Zertifikate, SAN-/Multi-Domain-Zertifikate sowie interne Zertifikate aus einer privaten PKI – jede Variante mit eigenen Lifecycle-Anforderungen.

Was ist ACME – und warum ist es jetzt unverzichtbar?

ACME bedeutet „Automated Certificate Management Environment“ und bezeichnet einen offenen, im RFC 8555 standardisierten IETF-Standard für die maschinelle Beantragung, Validierung und Verlängerung von SSL-/TLS-Zertifikaten. ACME stammt ursprünglich aus dem Umfeld von Let’s Encrypt, ist heute aber das De-facto-Protokoll für die Automatisierung des Zertifikatslebenszyklus – auch bei kommerziellen Certificate Authorities wie SSL.com, DigiCert, Sectigo, GlobalSign und Entrust.

Konkret bedeutet ACME: Ein ACME-Client (oder ein zentraler Agent) authentifiziert sich gegenüber der CA, beweist die Kontrolle über die jeweilige Domain über eine sogenannte ACME-Challenge – typischerweise DNS-01, HTTP-01 oder TLS-ALPN-01 – und erhält im Anschluss ein gültiges Zertifikat, ohne menschliches Zutun. Genau dieser Mechanismus skaliert in einer Welt von 200-, 100- oder 47-Tage-Zertifikaten.

Die wahren Kosten manueller Zertifikatsverlängerung

Viele Organisationen unterschätzen, wie teuer manuelle Prozesse tatsächlich sind – nicht nur in Personenstunden, sondern in Reputations- und Compliance-Risiko.

Operative Risiken

Ein abgelaufenes Zertifikat führt in der Praxis nicht zu einer dezenten Warnung, sondern zu einem harten Bruch. Browser blockieren den Aufruf, E-Mail-Gateways verwerfen Zustellungen, API-Integrationen brechen ab, Mobile Apps verlieren die Verbindung zum Backend. Selbst kurze Ausfälle führen zu messbaren Umsatzeinbußen, internen Eskalationen und externen Vertrauensverlusten. Branchen wie Banking, Versicherungen, E-Commerce und Logistik haben in den letzten Jahren öffentlichkeitswirksame Ausfälle erlebt, die auf nichts anderes als ein vergessenes Zertifikat zurückgingen.

Versteckte Personalkosten

Selbst wenn nichts ausfällt: Jedes manuelle Renewal kostet Zeit. Erfahrungswerte zeigen einen Aufwand zwischen 30 Minuten und mehreren Stunden pro Zertifikat – inklusive Beantragung, Validierung, Rollout, Tests und Dokumentation. Bei zwei Renewals pro Jahr und 500 Zertifikaten ergibt das schnell mehrere hundert Personentage – und damit Kosten, die in keinem Verhältnis zum operativen Nutzen stehen.

Compliance- und Audit-Anforderungen

ISO 27001, BSI IT-Grundschutz, DORA, NIS-2, branchenspezifische Vorgaben wie PCI DSS oder TISAX – sie alle erwarten lückenlose Nachweise zum Lebenszyklus kryptographischer Schlüssel. Eine in Excel-Tabellen geführte Zertifikatsverwaltung erfüllt diese Anforderungen in der Regel nicht mehr. Auditoren erwarten zentrale Übersichten, revisionssichere Logs und definierte Eskalationsprozesse.

Automatisierte SSL-Verlängerung mit LEMARIT

LEMARIT ist seit über 20 Jahren spezialisierter Corporate Registrar und betreut nationale wie internationale Unternehmen bei Domain-, DNS- und Zertifikats-Management. Mit LEMARIT Certificate Automation bündeln wir alle Anforderungen großer Konzern-Umgebungen in einer Plattform – mit ACME, REST-API und mehreren DNS-Validierungs-Pfaden.

Was unsere Lösung leistet

Wir übernehmen die End-to-End-Verantwortung für den Zertifikatslebenszyklus – vom initialen Inventar Ihrer bestehenden Zertifikate über die Implementierung der ACME-basierten Erneuerung bis zur kontinuierlichen Überwachung. Konkret bedeutet das:

Zentrale Inventur: Vollständige Erfassung aller eingesetzten Zertifikate – sichtbar, nicht versteckt im Tagesgeschäft.
Automatisierte Verlängerung: Renewals für DV-Zertifikate inklusive Wildcard- und Multi-Domain-Varianten (SAN), wahlweise über ACME oder unsere entwicklerfreundliche REST-API.
Single-Point-of-Contact mit Partner-CA-Auswahl: Eine Anbindung, beliebige Partner-CAs. Die CA-Wahl steuern Sie per Klick im WebUI der LEMARIT.app – ohne Anpassungen an Ihren Endsystemen.
Proaktives Monitoring: Schwellenwert-basierte Alerts und Health-Checks für jedes einzelne Zertifikat.
Audit-Trail: Lückenlose Protokollierung jedes Lifecycle-Events für Ihre Compliance-Berichte.
Persönlicher Service: Feste Ansprechpartner statt Ticket-Lotterie – wir kennen Ihre Umgebung.

Für wen ist die Lösung gemacht?

Unsere Kunden sind in der Regel mittelständische bis große Unternehmen mit einem Zertifikats-Portfolio ab etwa 50 aktiven Zertifikaten, häufig deutlich darüber. Sie betreiben kritische Web-Anwendungen, E-Commerce-Plattformen, API-Landschaften, mobile Dienste oder regulierte Infrastrukturen, bei denen ein Ausfall nicht akzeptabel ist. Branchenfokus: Finanzdienstleistung, Industrie, Energie, Pharma, Handel, öffentliche Hand.

Wie läuft die Einführung ab?

Der typische Onboarding-Pfad ist klar strukturiert und in der Regel innerhalb weniger Wochen produktiv:

Discovery & Inventur – Wir verschaffen Transparenz über Ihren aktuellen Bestand.
Architektur-Workshop – Wir definieren CA-Strategie, ACME-Topologie und Rollout-Pfade.
Pilotbetrieb – Wir starten mit einer abgegrenzten Domain-Gruppe.
Roll-out – Wir überführen den gesamten Bestand in den automatisierten Prozess.
Managed Operations – Wir betreiben und überwachen den Service – Sie behalten die Kontrolle.

Beratungsgespräch vereinbaren

SSL-Automatisierung vs. manuelles Management im Vergleich

Kriterium

Aufwand pro Renewal

Frequenz ab 2026

Ausfallrisiko durch Ablauf

Audit-Tauglichkeit

Skalierbarkeit auf 100-/47-Tage-Zertifikate

Ressourcenbindung im IT-Team

Manuell

30–240 Minuten

2x pro Jahr und Zertifikat

hoch

abhängig von Disziplin

nicht praktikabel

dauerhaft hoch

Automatisiert (LEMARIT + ACME)

nahezu 0 Minuten

unbegrenzt skalierbar

minimiert durch proaktives Monitoring

revisionssicher per Default

zukunftssicher

freigestellt für strategische Themen

Häufige Fragen (FAQ) zur SSL-Automatisierung

Ab wann gilt die neue 200-Tage-Regel für SSL-Zertifikate?

Die maximale Laufzeit öffentlich vertrauenswürdiger SSL-/TLS-Zertifikate wurde im Jahr 2026 auf 200 Tage verkürzt. Erstmals greifbar wird die Regel für viele Unternehmen am 1. Oktober 2026, wenn die ersten Bestandszertifikate mit dieser Laufzeit erneuert werden müssen. Weitere Verkürzungsstufen auf rund 100 Tage und später etwa 47 Tage sind in den Folgejahren geplant.

Was ist ACME und warum ist es wichtig?

ACME (Automated Certificate Management Environment) ist ein im RFC 8555 standardisiertes Protokoll für die automatisierte Ausstellung, Validierung und Verlängerung von SSL-/TLS-Zertifikaten. Es erlaubt Servern, Zertifikate ohne menschliches Zutun zu erneuern. Mit den verkürzten Laufzeiten wird ACME zum De-facto-Standard für jedes professionelle Certificate Lifecycle Management.

Welche ACME-Clients unterstützt LEMARIT?

Offiziell unterstützt und getestet sind Certbot (Linux mit Apache/Nginx), acme.sh (Unix-like und Container-Umgebungen) und cert-manager (Kubernetes). Andere RFC-2136-fähige ACME-Clients können technisch ebenfalls auf unsere Schnittstelle zugreifen, gehören aber nicht zur Standard-Support-Matrix.

Kann ich SSL-Zertifikate auch ohne ACME automatisieren?

Ja, das ist mit der LEMARIT-Lösung komfortabel möglich. ACME ist eine etablierte Standard-Option, aber nicht die einzige: LEMARIT Certificate Automation bietet zusätzlich eine entwicklerfreundliche REST-API, mit der Sie Zertifikatsanfragen auch aus Umgebungen automatisieren können, in denen ACME-Clients nicht zur Verfügung stehen oder generell keine sinnvolle Option sind – etwa bei Custom-Tooling, eigenen CertOps-Systemen oder Legacy-Integrationen.

Welche Zertifikate kann LEMARIT automatisiert verlängern?

LEMARIT Certificate Automation automatisiert öffentlich vertrauenswürdige DV-Zertifikate – inklusive Wildcard- und Multi-Domain-Varianten (SAN) – vollständig über das ACME-Protokoll oder unsere REST-API. OV- und EV-Zertifikate beziehen Sie ebenfalls über LEMARIT; hier begleiten wir Sie bei den weiterhin notwendigen Validierungsschritten. Eine schrittweise Erweiterung der Automatisierung auf diese Stufen ist Teil unserer Produkt-Roadmap.

Was passiert, wenn ein Zertifikat trotz Automatisierung abläuft?

Unser Monitoring schlägt deutlich vor Ablauf Alarm und eskaliert nach definierten Regeln an Ihre und unsere Bereitschaft. Sollte ein automatischer Renewal-Versuch scheitern – z. B. wegen einer DNS-Fehlkonfiguration – greift ein manueller Eskalationspfad lange vor dem tatsächlichen Ablaufdatum.

Müssen wir unsere Certificate Authority wechseln?

Nein. LEMARIT ist bewusst CA-neutral. Sie behalten Ihre bestehenden Verträge, profitieren aber von einer einheitlichen Automatisierungsschicht über alle CAs hinweg.

Welche Rolle spielt DNS bei der SSL-Automatisierung?

DNS spielt eine zentrale Rolle, denn die meisten Validierungen in Enterprise-Umgebungen laufen über die DNS-01-Challenge. LEMARIT Certificate Automation bietet dafür drei Wege: eine moderne REST-API, RFC 2136 mit TSIG-Authentifizierung für klassische DNS-Infrastrukturen, sowie das DCV-Zonen-Konzept mit CNAME-Delegation, das Ihre Hauptdomain über die Validierungs-Schnittstelle vollständig unzugänglich hält.

Ist SSL-Automatisierung mit ISO 27001 und NIS2 vereinbar?

Ja, im Gegenteil: Eine automatisierte, protokollierte Verlängerung ist in der Regel deutlich besser auditfähig als manuelle Prozesse. Unsere Plattform liefert die für ISO 27001, NIS2, DORA und vergleichbare Anforderungen relevanten Nachweise out of the box.

Welche Aufwände sparen wir mit der Automatisierung wirklich?

Erfahrungswerte aus Kundenprojekten zeigen Aufwandsreduktionen von 70 – 95 Prozent im operativen Zertifikatsmanagement. Die freiwerdenden Ressourcen stehen für strategische Themen wie Zero-Trust-Architekturen, Post-Quantum-Kryptographie oder neue Geschäftsanwendungen zur Verfügung.

Wie lange dauert die Einführung?

Je nach Größe und Heterogenität der Umgebung sind 4 – 12 Wochen bis zum produktiven Betrieb realistisch. Der Pilot startet typischerweise bereits nach 2 – 3 Wochen.

Weiterführende Inhalte

Was ändert sich mit der 200-Tage-Regel konkret im Tagesgeschäft?

ACME-Protokoll im Detail – DNS-01- vs. HTTP-01-Challenge

Certificate Lifecycle Management (CLM) für den Mittelstand

Wildcard- vs. SAN-Zertifikate: Wann lohnt sich was?

ISO 27001, NIS2 und SSL: Was Auditoren erwarten

Post-Quantum-Kryptographie: Was kommt nach RSA und ECC?

OCSP, CRL und Revocation: Wie Sperrlisten funktionieren

Private vs. Public PKI – Wann brauchen Sie welche?

Bereit, Ihre SSL-Verlängerung zu automatisieren?

Die Frage ist nicht mehr, ob Sie automatisieren – sondern wann. Mit jedem Renewal-Zyklus, den Sie noch manuell durchlaufen, riskieren Sie Ausfälle und binden wertvolle IT-Ressourcen.

Lassen Sie uns gemeinsam einen Plan entwickeln, der zu Ihrer Umgebung passt – herstellerneutral, persönlich, planbar.