Let's Encrypt 45-Tage-Zertifikate: Was Unternehmens-Teams wissen müssen

Einführung#
Die SSL-Zertifikatslandschaft steht vor der bedeutendsten Veränderung seit Jahren. Let's Encrypt, die weltweit größte Zertifizierungsstelle, wechselt von 90-Tage- auf 45-Tage-Laufzeiten für Zertifikate. Für Enterprise-Teams, die Hunderte oder Tausende von Domains verwalten, ist das keine kleine Anpassung — es ist ein grundlegender Wandel in der Art und Weise, wie das Management von SSL-Zertifikaten funktionieren muss.
Wenn Ihr Team SSL-Erneuerungen noch manuell verwaltet, werden Sie den Druck bald spüren. Was bisher vier Erneuerungszyklen pro Jahr waren, wird zu acht. Was eine überschaubare Aufgabe im Quartal war, wird zu einer dauerhaften operativen Belastung. Der Zeitplan ist bereits in Bewegung, und Infrastrukturteams, die jetzt vorbereiten, werden den Übergang reibungslos meistern. Wer nicht vorbereitet, riskiert höhere Ausfallzeiten und einen wachsenden operativen Mehraufwand.
Dieser Artikel erläutert die Ankündigung, die Gründe dafür, wie der Übergangszeitplan aussieht und was Enterprise-Teams tun sollten, um sich vorzubereiten.
Die Ankündigung: Let's Encrypt wechselt von 90-Tage- zu 45-Tage-Laufzeiten für Zertifikate#
Let's Encrypt hat Mitte 2026 angekündigt, die maximale Laufzeit von Zertifikaten von 90 Tagen auf 45 Tage zu reduzieren. Die Änderung betrifft alle neuen Zertifikate, die nach dem Übergangsdatum ausgestellt werden. Bestehende Zertifikate werden weiterhin bis zu ihrem natürlichen Ablaufdatum akzeptiert, aber Erneuerungen unterliegen dann der neuen 45-Tage-Laufzeit.
Das ist keine spontane Entscheidung. Let's Encrypt verkürzt die Laufzeiten von Zertifikaten seit dem Start schrittweise. Man begann mit 90 Tagen, als die meisten kommerziellen CAs Ein-Jahres-Zertifikate anboten. Der Schritt zu 45 Tagen setzt einen Trend fort: hin zu kürzerlebigen Zertifikaten, auf den sich die gesamte Branche bereits zubewegt.
Die praktische Auswirkung ist eindeutig: Jede Domain, die mit Let's Encrypt abgesichert ist, muss das Zertifikat künftig doppelt so häufig erneuern. Für Organisationen, die ihren Erneuerungsprozess bereits automatisiert haben, kann der Übergang reibungslos verlaufen. Für Teams, die auf manuelle Prozesse oder halbautomatisierte Workflows setzen, ist die operative Auswirkung erheblich.
Warum das passiert: Sicherheits-Best Practice — das Zeitfenster für Kompromittierungen begrenzen#
Kürzere Zertifikatslaufzeiten sind grundsätzlich eine Verbesserung der Sicherheit. Jedes TLS-Zertifikat stellt einen potenziellen Angriffsvektor dar. Wenn der private Schlüssel eines Zertifikats kompromittiert wird, kann ein Angreifer die legitime Domain nachahmen, bis das Zertifikat abläuft oder widerrufen wird. Je länger die Zertifikatslaufzeit, desto länger bleibt dieses Zeitfenster für Kompromittierungen geöffnet.
45-Tage-Zertifikate verkleinern dieses Zeitfenster im Vergleich zum aktuellen 90-Tage-Standard um die Hälfte. Wenn ein Schlüssel bereits am ersten Tag kompromittiert wird, beträgt die maximale Expositionsdauer 45 Tage statt 90. In der Praxis ist die Exposition typischerweise kürzer, aber die Obergrenze ist entscheidend – insbesondere für Organisationen, die eine Kompromittierung möglicherweise nicht sofort erkennen.
Es gibt außerdem ein Argument für die Sperrung. Zertifikatssperrungen über CRLs und OCSP waren historisch betrachtet nicht immer zuverlässig. Browser prüfen den Sperrstatus nicht durchgängig konsistent, und gesperrte Zertifikate werden manchmal weiterhin als vertrauenswürdig behandelt. Kürzere Laufzeiten verringern die Abhängigkeit von der Sperrinfrastruktur. Wenn ein Zertifikat nur 45 Tage gültig ist, wird das Sperren weniger kritisch – es läuft ohnehin bald ab.
Die Sicherheits-Community setzt sich seit langem für kürzere Zertifikatslaufzeiten ein. Mit dem Schritt von Let's Encrypt wird das operationalisiert, was Sicherheitsexperten bereits seit Jahren empfehlen.
Googles Parallel-CA/Browser-Forum-Vorschlag — Das ist nicht nur Let's Encrypt#
Let's Encrypt handelt nicht allein. Google treibt über das CA/Browser Forum einen parallelen Vorschlag voran, um die maximalen Zertifikatslaufzeiten branchenweit auf 45 Tage zu reduzieren. Das würde alle Zertifizierungsstellen betreffen – nicht nur Let's Encrypt, einschließlich kommerzieller CAs wie DigiCert, Sectigo und GlobalSign.
Der CA/B-Forum-Vorschlag wird noch diskutiert, aber Googles Beteiligung signalisiert, dass 45-Tage-Laufzeiten sehr wahrscheinlich zum Branchenstandard werden – und nicht nur eine Let's-Encrypt-Policy. Wenn der größte Browseranbieter und die größte Zertifizierungsstelle auf eine Sicherheitsrichtlinie ausrichten, folgt die Einführung in der Regel.
Für Enterprise-Teams bedeutet das: Die Ära der 45-Tage-Zertifikate ist kein spezifisches Let's-Encrypt-Thema. Wenn Sie heute kommerzielle Zertifikate mit einjähriger Laufzeit verwenden, sollten Sie damit rechnen, dass auch diese Laufzeiten kürzer werden. Das gesamte SSL-Zertifikats-Ökosystem bewegt sich hin zu kurzlebigen Zertifikaten, und die Umstellung ist bereits im Gange.
Zeitplan: Wann die Änderung passiert und wie die Übergangsphase aussieht#
Let's Encrypt hat eine schrittweise Einführung signalisiert. Die genauen Daten werden noch finalisiert, aber der erwartete Zeitplan folgt einem Muster ähnlich wie bei ihren vorherigen Reduzierungen der Laufzeiten:
**Ankündigungsphase (aktuell):** Öffentliche Kommunikation, Aktualisierungen der Dokumentation und Vorbereitung der Tools. Client-Software wie Certbot und ACME-Bibliotheken erhält Updates, um die neuen Laufzeiten zu unterstützen.
**Gestaffeltes Rollout:** Die 45-Tage-Lebensdauer gilt zunächst für einen Teil der neuen Zertifikatsausstellungen. So kann Let's Encrypt Probleme überwachen und Daten zu den Erneuerungsmustern sammeln.
**Vollständige Durchsetzung:** Alle neuen Zertifikate, die von Let's Encrypt ausgestellt werden, haben die maximale Lebensdauer von 45 Tagen. Bestehende Zertifikate mit 90 Tagen laufen weiterhin bis zu ihrem natürlichen Ablaufdatum.
Für Enterprise-Teams ist die praktische Frist dann erreicht, wenn Ihre aktuelle Automatisierung nach dem Übergang ihren Erneuerungszyklus erreicht. Wenn Ihre Zertifikate heute alle 60 Tage erneuert werden, haben Sie ungefähr einen Erneuerungszyklus nach den Richtlinienänderungen Zeit, bevor Sie 45-Tage-Zertifikate ausstellen.
Beginnen Sie mit 5x schnelleren Weiterleitungen mit RedirHub
Erhalten Sie Weiterleitungen in weniger als 100 ms – mit automatischem HTTPS, Analysen und null Konfiguration.
Jetzt kostenlos startenWas 45 Tage wirklich bedeuten: 8 Erneuerungszyklen pro Jahr statt aktuell 4#
Die Rechnung ist einfach, aber die operative Auswirkung nicht. Der Wechsel von 90-Tage- zu 45-Tage-Zertifikaten bedeutet:
**Die Erneuerungsfrequenz verdoppelt sich.** Statt vier Erneuerungszyklen pro Jahr und Domain haben Sie acht. Für ein Team, das 100 Domains verwaltet, sind das jährlich 800 Erneuerungsereignisse statt 400. Für Teams mit Tausenden von Domains werden die Zahlen ohne vollständige Automatisierung unhandhabbar.
**Die Erneuerungsfenster werden kürzer.** Bei 90-Tage-Zertifikaten beginnen die meisten automatisierten Erneuerungssysteme mit dem Versuch der Erneuerung 30 Tage vor Ablauf — mit einem komfortablen 30-Tage-Puffer. Bei 45-Tage-Zertifikaten lässt diese gleiche 30-Tage-Vorlaufzeit nur noch 15 Tage Puffer. Die Erneuerungslogik muss aggressiver und zuverlässiger werden.
**Die Fehlertoleranz sinkt.** Bei 90-Tage-Zertifikaten gibt ein Erneuerungsfehler Ihnen Wochen, um vor dem Ablauf zu untersuchen und die Ursache zu beheben. Bei 45-Tage-Zertifikaten haben Sie Tage. Jeder Erneuerungsfehler ist dringlicher, und Ihre Überwachung muss reaktionsschneller sein.
**Ratenbegrenzung wird zum Thema.** Let's Encrypt setzt Ratenlimits für die Zertifikatsausstellung durch. Die Verdopplung der Erneuerungsfrequenz bedeutet, dass Sie das doppelte Budget des Ratenlimits verbrauchen. Teams, die bei 90-Tage-Zertifikaten nahe an ihren Limits liegen, können diese bei 45-Tage-Zertifikaten erreichen und müssen ihre Ausstellungs- bzw. Erneuerungsmuster anpassen.
Kurz gesagt: Manuelle oder halbautomatisierte Erneuerungsprozesse, die bei 90 Tagen gerade so funktioniert haben, werden bei 45 Tagen scheitern. Vollständige Automatisierung ist nicht länger optional.
So wirkt es sich am stärksten aus: Teams, die 100+ Domains mit manuellen SSL-Prozessen verwalten#
Die 45-Tage-Zertifikatslaufzeit trifft nicht alle gleichermaßen. So spüren die größten Auswirkungen besonders:
**Domain-Investoren und Portfoliomanager.** Teams, die Hunderte oder Tausende geparkter, weitergeleiteter oder monetarisierter Domains verwalten, tragen die größte operative Last. Jede Domain benötigt ihr eigenes Zertifikat. Eine manuelle Verlängerung in diesem Umfang war schon bei 90 Tagen mühsam. Bei 45 Tagen ist das nicht machbar.
**Agenturen, die Kundendomains verwalten.** Digitale Agenturen übernehmen häufig die SSL-Verwaltung für Dutzende oder Hunderte von Kundendomains. Jeder Kunde kann eine andere Infrastruktur nutzen, andere Verlängerungsprozesse haben und unterschiedliche Automatisierungsgrade. Der 45-Tage-Zeitrahmen verstärkt jede Unstimmigkeit in ihren Verlängerungs-Workflows.
**E-Commerce-Plattformen mit mehreren Shops.** Multi-Brand-E-Commerce-Betriebe betreiben für jede Marke, jede Region und jede Kampagne separate Domains. Die Anzahl der Zertifikate wächst schnell — und damit auch die Verlängerungsbelastung.
**SaaS-Plattformen mit benutzerdefinierten Domains.** SaaS-Produkte, die es Kunden ermöglichen, eigene Domains mitzubringen, übernehmen die SSL-Bereitstellung typischerweise im Rahmen des Onboardings. Mit 45-Tage-Zertifikaten muss die Verlängerungsinfrastruktur absolut zuverlässig sein — ein Verlängerungsfehler für die Domain eines Kunden bedeutet, dass dessen Website eine Sicherheitswarnung anzeigt.
Teams mit vollständig automatisierter ACME-basierter Verlängerung spüren die Änderung möglicherweise gar nicht. Die Zertifikatslaufzeit wird durch Infrastruktur abstrahiert, die automatisch erneuert. Die Trennlinie ist die Automatisierung — wenn in Ihrem Verlängerungsprozess ein Mensch einen Dashboard-Check macht oder ein Skript ausführt, sind Sie auf der falschen Seite davon.
Die Lücke bei der Enterprise-Bereitschaft#
Branchenumfragen zeichnen ein besorgniserregendes Bild. Trotz jahrelanger Verfügbarkeit von Let's Encrypt und ausgereifter ACME-Automatisierung verwaltet ein erheblicher Anteil der Organisationen SSL-Verlängerungen weiterhin über manuelle oder halbautomatisierte Prozesse.
Häufige Lücken sind: Zertifikate, die über Tabellen statt über automatisiertes Monitoring verwaltet werden, Verlängerungsskripte, die manuell angestoßen werden müssen, Ablaufwarnungen, die an nicht überwachte Postfächer gehen, sowie Wildcard-Zertifikate, die ohne zentrale Abstimmung über die Infrastruktur verteilt werden.
Die Bereitschaftslücke ist am größten in Organisationen, die Let's Encrypt früh eingeführt haben, aber ihre Erneuerungs-Pipeline nie vollständig automatisiert haben. Sie haben Certbot vor fünf Jahren auf einigen Servern eingerichtet, einen Cron-Job hinzugefügt und das Setup seitdem nicht mehr überprüft. Diese Cron-Jobs laufen möglicherweise alle 60 Tage — das ist nicht häufig genug für Zertifikate mit einer Laufzeit von 45 Tagen.
Die Empfehlung der Infrastruktur-Teams, die den Übergang bereits vollzogen haben, ist konsistent: Prüfen Sie Ihre Erneuerungsprozesse jetzt. Erstellen Sie eine Übersicht über jedes Zertifikat in Ihrer Infrastruktur, verifizieren Sie, dass die Erneuerung automatisiert und überwacht wird, und testen Sie Ihre Verfahren zur Wiederherstellung im Fehlerfall. Die Ära der 45 Tage wird jede Lücke in Ihrer Erneuerungs-Pipeline sichtbar machen.
Fazit#
Die Ära der 45-Tage-Zertifikate kommt, und das ist nicht nur eine Änderung der Let's-Encrypt-Policy — es ist ein branchenweiter Wandel hin zu kürzeren Zertifikatslaufzeiten, angetrieben durch Sicherheitsbest Practices. Für Enterprise-Teams ist die Trennlinie zwischen denen, die die Auswirkungen spüren, und denen, die es nicht tun, einfach: Automatisierung.
Wenn Ihre SSL-Erneuerungs-Pipeline vollständig über ACME automatisiert ist — also Zertifikate erneuert, installiert und verifiziert werden, ohne menschliches Eingreifen —, werden Sie die Änderung möglicherweise überhaupt nicht bemerken, außer dass Sie einen Konfigurationsparameter aktualisieren. Wenn Ihr Erneuerungsprozess manuelle Schritte, Tabellenkalkulationen oder durch Menschen ausgelöste Skripte beinhaltet, wird der 45-Tage-Zeitrahmen jede Lücke in Ihrer Infrastruktur sichtbar machen.
Die praktischen Schritte sind unkompliziert: Prüfen Sie Ihr Zertifikatsinventar, verifizieren Sie die Abdeckung der Automatisierung, testen Sie Szenarien für fehlgeschlagene Erneuerungen und stellen Sie sicher, dass die Überwachung Ablaufdaten erkennt, bevor Nutzer Browserwarnungen sehen. Die Teams, die das jetzt — bevor der Zeitrahmen schrumpft — umsetzen, werden den Übergang ohne Zwischenfälle bewältigen.
Prüfen Sie jetzt Ihren SSL-Erneuerungsprozess. Die Ära der 45 Tage kommt — sehen Sie, wie die automatisierte SSL-Verwaltung funktioniert.
Beginnen Sie mit 5x schnelleren Weiterleitungen mit RedirHub
Erhalten Sie Weiterleitungen in weniger als 100 ms – mit automatischem HTTPS, Analysen und null Konfiguration.
Jetzt kostenlos startenHäufig gestellte Fragen
Let's Encrypt hat angekündigt, die Zertifikatslaufzeiten von 90 Tagen auf 45 Tage zu reduzieren, mit einer schrittweisen Einführung, die bis 2026 erwartet wird. Das genaue Datum für die vollständige Durchsetzung wird noch festgelegt, aber der Übergang hat bereits begonnen. Überprüfen Sie das Community-Forum von Let's Encrypt für die neuesten Zeitplan-Updates.
Derzeit gilt die Änderung direkt für Let's Encrypt-Zertifikate. Google hat jedoch einen parallelen Vorschlag über das CA/Browser Forum, um die maximalen Zertifikatslaufzeiten auf 45 Tage für alle Zertifizierungsstellen zu reduzieren. Wenn dies angenommen wird, würde es auch kommerzielle CAs wie DigiCert und Sectigo betreffen. Unternehmens-Teams, die kommerzielle Zertifikate verwenden, sollten die Entwicklungen im CA/B Forum im Auge behalten.
Die automatisierte Erneuerung nutzt das ACME-Protokoll, das von Let's Encrypt nativ unterstützt wird. Die meisten Organisationen verwenden ACME-Clients wie Certbot, acme.sh oder die integrierte ACME-Unterstützung in Lastenausgleichern und Reverse-Proxys. Der Schlüssel ist sicherzustellen, dass der Erneuerungsprozess automatisch abläuft (typischerweise über cron oder systemd-Timer), die Installation ohne manuelles Eingreifen erfolgt und die Überwachung von Erneuerungsfehlern umfasst.
Nein. Die Zertifikatslaufzeit hat keinen Einfluss auf die Sicherheitsbewertungen von Tools wie SSL Labs oder Mozilla Observatory. Die Verschlüsselungsstärke, die Schlüssellänge und die Protokollunterstützung sind unabhängig von der Zertifikatslaufzeit. Kürzere Laufzeiten werden von Sicherheitsprüfern tatsächlich positiv bewertet, da sie das Risiko eines Schlüsselkompromisses begrenzen.
Ja. RedirHub provisioniert und erneuert automatisch SSL-Zertifikate für alle über seine Edge-Infrastruktur verwalteten Domains. Zertifikate werden über die Let's Encrypt ACME-Integration bereitgestellt und automatisch vor Ablauf erneuert. Das bedeutet, dass Domains, die RedirHub für das Redirect-Management verwenden, keine betrieblichen Änderungen benötigen, wenn die 45-Tage-Richtlinie in Kraft tritt.
Ein abgelaufenes Zertifikat führt dazu, dass Browser eine Sicherheitswarnung anzeigen – typischerweise ein Vollbild-Interstitial, durch das Benutzer klicken müssen, um auf die Website zuzugreifen. Diese Warnung untergräbt das Vertrauen der Benutzer und kann zu einem erheblichen Verkehrsverlust führen. Für E-Commerce- und SaaS-Anwendungen kann das Ablaufen von Zertifikaten direkt Umsatz und Kundenvertrauen beeinträchtigen.
Ein mittelständisches Unternehmen verwaltet typischerweise 100-500 Domains über Produktmarken, Marketingkampagnen, regionale Websites und interne Dienste. Bei 45-Tage-Laufzeiten bedeutet das 800-4.000 Erneuerungsereignisse jährlich – im Vergleich zu 400-2.000 bei 90 Tagen. Der operationale Unterschied ist erheblich, insbesondere für Organisationen mit manuellen oder halbautomatisierten Erneuerungsprozessen.
Sobald die 45-Tage-Richtlinie vollständig durchgesetzt ist, werden alle neuen Let's Encrypt-Zertifikate eine maximale Laufzeit von 45 Tagen haben. Bestehende 90-Tage-Zertifikate werden bis zu ihrem natürlichen Ablauf anerkannt. Wenn Sie länger gültige Zertifikate benötigen, bieten kommerzielle CAs weiterhin einjährige Zertifikate an, obwohl das CA/B Forum diese Höchstwerte in Zukunft möglicherweise reduzieren könnte.
Verwandte Artikel
Alle Artikel anzeigen



