Am 4. April 2025 hat das CA/Browser-Forum eine tiefgreifende Entscheidung getroffen: Die maximale Laufzeit für öffentliche TLS-Zertifikate soll schrittweise auf 47 Tage reduziert werden. Die Domains müssen alle 10 Tage neu überprüft werden – ein massiver Einschnitt für viele Unternehmen, die ihre Zertifikate bisher mit jährlichem Zyklus verwaltet haben. 

In diesem Beitrag fassen wir den aktuellen Stand zusammen, zeigen die weitere Entwicklung auf – und was SwissSign-Kunden konkret erwarten können.

Zeitplan für die Reduktion der Gültigkeitsdauer

Die Mitglieder des CA/Browser-Forums haben mit breiter Mehrheit die Verkürzung der maximalen Gültigkeitsdauer von öffentlich vertrauenswürdigen TLS / SSL-Zertifikaten auf 47 Tage beschlossen. Die zulässige Dauer wird über mehrere Jahre hinweg schrittweise gesenkt:

• Per 15. März 2026: maximal 200 Tage (SwissSign-Umsetzung per 9. März 2026, maximal 198 Tage)

• Per 15. März 2027: maximal 100 Tage (SwissSign: 98 Tage),

• Per 15. März 2029: maximal 47 Tage (SwissSign: 45 Tage)

Im gleichen Zug werden auch die Fristen für die Wiederverwendbarkeit von Domain-Validierungsinformationen deutlich reduziert.

• Per 15. März 2026 sinkt die maximale Wiederverwendbarkeit auf 200 Tage (SwissSign-Umsetzung per 9. März 2026, 198 Tage),

• Per 15. März 2027: 100 Tagen

• Per 15. März 2029: 10 Tage

Zusätzlich wird auch die Gültigkeit von Identitätsprüfungen im Rahmen von OV-Zertifikaten eingeschränkt:

Per dem 15. März 2026 können Validierungen der Subject Identity Information (SII) – also Angaben zur Organisation wie Firmenname – nur noch 398 Tage (13 Monate) lang wiederverwendet werden (statt bisher 825 Tage, 25 Monate). Diese Änderungen betreffen ausschliesslich OV-Zertifikate. Domain Validated (DV)-Zertifikate sind hiervon nicht betroffen, da sie keine SII enthalten. 

Das CA/B-Forum will mit diesen Änderungen die Risiken durch kompromittierte oder falsch ausgestellte Zertifikate minimieren, die flächendeckende Einführung von Änderungen beschleunigen, den Druck zur Automatisierung erhöhen und den Lebenszyklus von Zertifikaten enger an Best Practices anpassen. Hintergrund ist das Ziel, die Web-PKI widerstandsfähiger zu machen – und die die Cybersicherheit insgesamt zu erhöhen. 

Zusammenfassung bei Heise Online: TLS-Zertifikate bald nur noch 47 Tage gültig 

Hintergrund: Ballot Vote des CA/B-Forum auf GitHub

Was nicht betroffen ist

• Ihre SwissSign Managed PKI kostet weiterhin gleich viel. Das Preismodell bezieht nicht in Betracht, ob sie für Ihre (Web) Adresse ein Zertifikat einmal oder zwölfmal pro Jahr beziehen

• Interne (nicht öffentliche Zertifikate) Zertifikate (z. B. für interne Server, VPNs oder Geräte): Die Regelung bezieht sich ausschliesslich auf öffentlich vertrauenswürdige Zertifikate

• Bestandszertifikate: Eine Rückwirkung auf bereits ausgestellte Zertifikate ist nicht vorgesehen

• Code Signing, S/MIME, Dokumentensignaturen: Diese sind nicht Teil des betroffenen Standards. Für S/MIME wurde die maximale Laufzeit bereits von drei auf zwei Jahre verkürzt (hier unser Blog-Beitrag dazu)

Auswirkungen auf Ihr Unternehmen oder Ihre Organisation

Je nach Setup und Reifegrad der Zertifikatsverwaltung können die Folgen unterschiedlich sein:

• Manuelle Prozesse (Erneuerung via Ticket, Upload, manuelle Installation) sind mit 47-Tage-Zertifikaten nicht mehr praxistauglich

• Automatisierung wird also unausweichlich – z. B. via ACME-Protokoll oder API-gestützte Plattformen beziehungsweise mittels Zertifikatsverwaltungs-Software, einer Certificate Lifecycle Management-Lösung (CLM). Ein CLM orchestriert den gesamten Zertifikatslebenszyklus automatisiert – von der Bestellung über die Erneuerung bis zur Verteilung und Installation. Statt manueller Prozesse übernimmt eine CLM-Plattform das Monitoring, sendet rechtzeitig Warnungen vor Ablauf, erneuert Zertifikate automatisch und stellt sicher, dass keine kritischen Systeme durch abgelaufene Zertifikate ausfallen. Gerade bei 47-Tage-Zyklen ist eine CLM-Lösung keine Option mehr, sondern eine Notwendigkeit.

• Zertifikats-Transparenz und Monitoring müssen enger getaktet werden (inkl. Warn- und Eskalationsmechanismen), auch dies mittels CLM-Lösung 

Wer bisher jährlich oder halbjährlich „aufräumt“, muss künftig auf eine laufende Orchestrierung umstellen.

SwissSign Certificate Lifecycle Management – powered by Evertrust

Um Sie optimal auf die neuen Anforderungen vorzubereiten, bietet SwissSign in Partnerschaft mit Evertrust eine leistungsstarke CLM-Lösung an. Die Plattform ermöglicht vollständige Automatisierung Ihrer Zertifikatsverwaltung – von der Bestandsaufnahme über automatische Erneuerungen bis hin zur Integration in Ihre bestehende IT-Infrastruktur. So verwalten Sie nicht Ihre Zertifikate zentral an einem Ort. Die Lösung bietet umfassendes Monitoring, automatische Alerting-Mechanismen und nahtlose Integration via ACME-Protokoll oder REST-API.

Wie SwissSign Prozesse anpassen wird

Als etablierte Schweizer CA arbeiten wir kontinuierlich an der Weiterentwicklung unserer bestehenden Dienste:

Wir verbreitern unsere Zusammenarbeit mit Partnern für noch mehr Automatisierungsoptionen, insbesondere durch unsere strategische Partnerschaft mit Evertrust für Certificate Lifecycle Management.

Im ersten Schritt wird die Einheit der Gültigkeitsdauer unserer TLS/SSL-Zertifikate per Januar 2026 auf Tage umgestellt, maximal 365.

Weitere Änderungen zur Vorbereitung setzen wir per 09. März 2026 um: 

• Die maximale Gültigkeitsdauer von TLS/SSL-Zertifikaten wird auf 198 Tage reduziert.

• Die maximale Wiederverwendbarkeit von Domain-Validierungsinformationen wird auf 198 Tage reduziert.

• Bestehende Domain-Validierungen, die älter als 198 Tage sind (also Validierungen, die vor dem 23. August 2025 durchgeführt wurden), verlieren ihre Gültigkeit. Das bedeutet: Domains müssen erneut validiert werden, um weiterhin TLS/SSL‑ und S/MIME‑Zertifikate ausstellen zu können.

• Validierungen von Subject Identity Information (SII) – wie Name der Organisation, Adresse und andere Identifikationsmerkmale – können nur noch 12 Monate (statt bisher 25 Monate) wiederverwendet werden.

• Die Identität von RAOs für MPKI OV‑Zertifikaten muss neu validiert werden, sofern ihre letzte Identitätsprüfung länger als 13 Monate zurückliegt. Andernfalls können sie sich nicht mehr im MPKI‑Portal anmelden.

Ausblick: Im Sommer 2026 wird SwissSign automatisierte Domain-Validierungsmethoden gemäss CA/Browser Forum einführen. Detaillierte Informationen folgen zu einem späteren Zeitpunkt.

Was wir empfehlen

Starten Sie die Automatisierung – bereits im kommenden Jahr muss es deutlich schneller gehen als heute! Beginnen Sie mit den folgenden Grundfragen: 

• Bestandsaufnahme: Welche Zertifikate sind in Ihrem Unternehmen wo und für welchen Zweck im Einsatz und welche davon sind öffentlich vertrauenswürdige Internet-Zertifikate?

• Prozess-Review: Wie läuft die Erneuerung heute ab – manuell, teilautomatisiert, vollautomatisch?

• Falls Sie noch Einzelzertifikate im Einsatz haben: Vereinfachen Sie Ihr Zertifikate-Management für Internet-Zertifikate (TLS / SSL und E-Mail): Mit unserer Managed PKI (MPKI) können Sie Zertifikate für Ihre Mitarbeitenden, Kunden und Partner eigenständig und individuell für Ihre Bedürfnisse verwalten und sparen im Vergleich zum Kauf einzelner Zertifikate. Jetzt MPKI bestellen

• Technische Vorbereitung: Ist eine CLM-Lösung bereits im Einsatz? Falls nein: Mit SwissSign Certificate Lifecycle Management powered by Evertrust erhalten Sie eine zukunftssichere Plattform für die vollautomatisierte Zertifikatsverwaltung. Lassen Sie sich beraten, wie Sie Ihren PKI-Set-Up optimieren und auf die neuen Anforderungen vorbereiten können. Jetzt Kontakt aufnehmen

• Planung für höhere Frequenz: Monitoring, Audits, Alerting anpassen