47 Tage TLS / SSL & 10 Tage DV | SwissSign

Navigieren auf SwissID

Eine Datensicherheitsspezialistin der Schweizerischen Post
Adrian Müller • 09.05.2025

47 Tage, 10 Tage – TLS / SSL-Zertifikate und Domain-Validierung mit deutlich kürzerer Gültigkeitsdauer

Einordnung und nächste Schritte von SwissSign. Das CA/Browser-Forum hat die schrittweise Verkürzung der Laufzeit für TLS/SSL-Zertifikate und der Gültigkeitsdauer für die Domain-Überprüfung beschlossen – mit weitreichenden Folgen für IT-Teams weltweit. Hier eine kurze Zusammenfassung der Lage und wie wir bei SwissSign Sie weiter unterstützen werden.

Am 4. April 2025 hat das CA/Browser-Forum eine tiefgreifende Entscheidung getroffen: Die maximale Laufzeit für öffentliche TLS-Zertifikate soll schrittweise auf 47 Tage reduziert werden. Die Domains müssen alle 10 Tage neu überprüft werden – ein massiver Einschnitt für viele Unternehmen, die ihre Zertifikate bisher mit jährlichem Zyklus verwaltet haben. 

In diesem Beitrag fassen wir den aktuellen Stand zusammen, zeigen die weitere Entwicklung auf – und was SwissSign-Kunden konkret erwarten können.

Zeitplan für die Reduktion der Gültigkeitsdauer

Die Mitglieder des CA/Browser-Forums haben mit breiter Mehrheit die Verkürzung der maximalen Gültigkeitsdauer von öffentlich vertrauenswürdigen TLS / SSL-Zertifikaten auf 47 Tage beschlossen. Die zulässige Dauer wird über mehrere Jahre hinweg schrittweise gesenkt:

  • Per 15. März 2026: maximal 200 Tage,

  • Per 15. März 2027: maximal 100 Tage,

  • Per 15. März 2029: maximal 47 Tage

Im gleichen Zug werden auch die Fristen für die Wiederverwendbarkeit von Domain-Validierungsinformationen deutlich reduziert.

  • Per 15. März 2026 sinkt die maximale Wiederverwendbarkeit auf 200 Tage,

  • Per 15. März 2027: 100 Tagen

  • Per 15. März 2029: 10 Tage

Zusätzlich wird auch die Gültigkeit von Identitätsprüfungen im Rahmen von OV-Zertifikaten eingeschränkt:

Per dem 15. März 2026 können Validierungen der Subject Identity Information (SII) – also Angaben zur Organisation wie Firmenname – nur noch 398 Tage lang wiederverwendet werden (statt bisher 825 Tage). Diese Änderungen betreffen ausschliesslich OV-Zertifikate. Domain Validated (DV)-Zertifikate sind hiervon nicht betroffen, da sie keine SII enthalten. 

Das CA/B-Forum will mit diesen Änderungen die Risiken durch kompromittierte oder falsch ausgestellte Zertifikate minimieren, die flächendeckende Einführung von Änderungen beschleunigen, den Druck zur Automatisierung erhöhen und den Lebenszyklus von Zertifikaten enger an Best Practices anpassen. Hintergrund ist das Ziel, die Web-PKI widerstandsfähiger zu machen – und die die Cybersicherheit insgesamt zu erhöhen. 

Zusammenfassung bei Heise Online: TLS-Zertifikate bald nur noch 47 Tage gültig 

Hintergrund: Ballot Vote des CA/B-Forum auf GitHub

Was nicht betroffen ist

  • Ihre SwissSign Managed PKI kostet weiterhin gleich viel. Das Preismodell bezieht nicht in Betracht, ob sie für Ihre (Web) Adresse ein Zertifikat einmal oder zwölfmal pro Jahr beziehen

  • Interne (nicht öffentliche Zertifikate) Zertifikate (z. B. für interne Server, VPNs oder Geräte): Die Regelung bezieht sich ausschliesslich auf öffentlich vertrauenswürdige Zertifikate

  • Bestandszertifikate: Eine Rückwirkung auf bereits ausgestellte Zertifikate ist nicht vorgesehen

  • Code Signing, S/MIME, Dokumentensignaturen: Diese sind nicht Teil des betroffenen Standards. Für S/MIME wurde die maximale Laufzeit bereits von drei auf zwei Jahre verkürzt (hier unser Blog-Beitrag dazu)

Auswirkungen auf Ihr Unternehmen oder Ihre Organisation

Je nach Setup und Reifegrad der Zertifikatsverwaltung können die Folgen unterschiedlich sein:

  • Manuelle Prozesse (Erneuerung via Ticket, Upload, manuelle Installation) sind mit 47-Tage-Zertifikaten nicht mehr praxistauglich

  • Automatisierung wird also unausweichlich – z. B. via ACME-Protokoll oder API-gestützte Plattformen beziehungsweise mittels Zertifikatsverwaltungs-Software, einer Certificate Lifecycle Management-Lösung (CLM)

  • Zertifikats-Transparenz und Monitoring müssen enger getaktet werden (inkl. Warn- und Eskalationsmechanismen), auch dies mittels CLM-Lösung 

Wer bisher jährlich oder halbjährlich „aufräumt“, muss künftig auf eine laufende Orchestrierung umstellen.

Wie SwissSign Prozesse anpassen wird

Als etablierte Schweizer CA arbeiten wir kontinuierlich an der Weiterentwicklung unserer bestehenden Dienste, insbesondere hinsichtlich:

  • Domain-Validierung für unsere Zertifikate

  • Zertifikats-Erneuerungsprozesse im Rahmen unserer Managed PKI

  • Zusammenarbeit mit weiteren Partnern für noch mehr Automatisierungsoptionen

Was kommt als Nächstes

Wir bereiten derzeit einen detaillierten Ratgeber vor, der Ihnen aufzeigt, welche Art der Automatisierung für Ihr Unternehmen geeignet ist.

Kontaktieren Sie uns

Was wir empfehlen – schon jetzt

Starten Sie die Automatisierung – bereits im kommenden Jahr muss es deutlich schneller gehen als heute! Beginnen Sie mit den folgenden Grundfragen: 

  • Bestandsaufnahme: Welche Zertifikate sind in Ihrem Unternehmen wo und für welchen Zweck im Einsatz und welche davon sind öffentlich vertrauenswürdige Internet-Zertifikate?

  • Prozess-Review: Wie läuft die Erneuerung heute ab – manuell, teilautomatisiert, vollautomatisch?

  • Falls Sie noch Einzelzertifikate im Einsatz haben: Vereinfachen Sie Ihr Zertifikate-Management für Internet-Zertifikate (TLS / SSL und E-Mail): Mit unserer Managed PKI (MPKI) können Sie Zertifikate für Ihre Mitarbeitenden, Kunden und Partner eigenständig und individuell für Ihre Bedürfnisse verwalten und sparen im Vergleich zum Kauf einzelner Zertifikate. Jetzt MPKI bestellen

  • Technische Vorbereitung: Ist eine CLM-Lösung bereits im Einsatz und welche Anforderungen bestehen an eine solche Lösung? Lassen Sie sich beraten, wie Sie Ihren PKI-Set Up optimieren und bereit machen können und welche Automatisierungsmöglichkeiten über eine MPKI hinaus für Sie passen würden. Jetzt Kontakt aufnehmen

  • Planung für höhere Frequenz: Monitoring, Audits, Alerting anpassen

Haben Sie etwas lernen können aus unserem Beitrag, senden Sie ihn doch anderen Personen in Ihrer Organisation, speichern sich den Link für später oder teilen Sie ihn auf LinkedIn 👇

Zur Übersicht

Das könnte Sie auch interessieren

Adrian Mueller • 07.04.2025

Was ist eine Certificate Authority – und warum sie im digitalen Alltag unverzichtbar ist

Ob sichere Webseiten, verschlüsselte E-Mails oder digitale Signaturen – hinter jeder vertrauenswürdigen digitalen Identität steht eine Certificate Authority. Sie überprüft, bestätigt und sichert Identitäten im Internet und ist damit ein zentraler Baustein für Vertrauen in der digitalen Kommunikation, in Unternehmen, im öffentlichen Sektor und im Alltag.
Cybersecurity PKI & Zertifikate
Adrian Mueller • 21.11.2024

PKI – Was ist Public Key Infrastructure?

Was ist eine Public Key Infrastructure (PKI)? Die Basis für SSL-Zertifikate, digitale Signaturen und mehr – für digitale Sicherheit und Effizienz in Unternehmen
Cybersecurity PKI & Zertifikate
Adrian Mueller • 28.04.2025

EUID: Wie Ihre digitalen Zertifikate noch vertrauenswürdiger werden – die neue international eindeutige Organisationskennung

Digitale Zertifikate sind nicht einfach technische Datenpakete, sie bescheinigen die Identität des Zertifikatshalters. SwissSign bietet deshalb innerhalb ihres Zertifikats-Produktportfolios die Möglichkeit, eine Organisation als Teil der Identität einzutragen.
Cybersecurity PKI & Zertifikate

SwissSign

Ressourcen

Wissen

Support

Eine Datensicherheitsspezialistin der Schweizerischen Post

Logo von «Die Post», Sie gelangen zur Website von «Die Post».