Das CA/Browser Forum, ein Zusammenschluss von Zertifizierungsstellen und Web-Browsern, in dem u.a. DigiCert, GlobalSign, Apple, Google und Microsoft vertreten sind, hat im April 2025 beschlossen, die aktuelle Gültigkeit von öffentlichen TLS (Transport Layer Security)-Zertifikaten von 398 Tagen nach folgender Roadmap zu senken:
- 15. März 2026: Zertifikate auf 200 Tage begrenzt
- 15. März 2027: Weitere Reduzierung auf 100 Tage
- 15. März 2029: Zertifikate auf 47 Tage begrenzt
Für viele Organisationen bedeutet das, dass sie sich dringend mit dem bislang häufig vernachlässigtem Thema Zertifikatsmanagement auseinandersetzen müssen. Obwohl die erste Verkürzung der Gültigkeitsdauer von Zertifikaten erst im März 2026 in Kraft tritt, werden Organisationen Monate benötigen, um ihre Zertifikate zu inventarisieren, Prozesse neu zu gestalten und Automatisierungen zu implementieren. Das bedeutet, dass die Arbeit an diesem Thema jetzt beginnen muss. Und da der Hauptgrund für die Verkürzung der Gültigkeitsdauer Sicherheitsrisiken waren, sollten CISOs eng in diesen Prozess eingebunden werden.
Hintergrund: Bedeutung von TLS-Zertifikaten
TLS-Zertifikate werden verwendet, um Internetverbindungen mittels des Transport Layer Security (TLS)-Protokolls abzusichern. Sie dienen also dazu, die Vertraulichkeit und Integrität der übertragenen Daten zwischen einem Browser und einem Webserver zu gewährleisten. In der Praxis bedeutet das im Fall von abgelaufenen Zertifikaten für Unternehmen, dass der Besuch ihrer Website und Services mit höheren Risiken verbunden ist, da Daten, die an die Website gesendet werden, zum Beispiel durch einen "Man-in-the-middle"-Angriff abgefangen werden können. Dementsprechend flaggen die Browserhersteller derartige Websites bei einem Aufrufversuch über ein Pop-up als "nicht sicher" und empfehlen, die Website nicht aufzurufen.
Damit haben abgelaufene TLS-Zertifikate direkte Konsequenzen für Unternehmen:
- Umsatzverluste durch abgebrochene Einkaufsvorgänge oder abgehaltene Besucher
- Vertrauensverluste von Kunden, da die Website ihnen als "nicht sicher" dargestellt wird
- Reputationsschäden durch Sicherheitsvorfälle
- Mögliche negative Auswirkungen auf die Suchmaschinenplatzierung
Viele Organisationen sind für die Umstellung nicht bereit
In vielen Organisationen spielt das Thema Zertifikatsmanagement sowohl für die internen als auch die öffentlichen Zertifikate noch eine Nebenrolle. Dementsprechend erfolgt die technische Umsetzung für beide Zertifikatstypen mit Lösungen, die viele manuelle Tätigkeiten notwendig machen, wie beispielsweise die manuelle Rotation von Zertifikaten oder die manuelle Pflege des Zertifikatsinventars. Auch organisatorisch sind Organisationen häufig nicht auf die Änderungen eingestellt. So wird die Gültigkeitsdauer von Zertifikaten oft durch Exceltabellen oder Kalendereinträge verwaltet, ebenso führt das Ausscheiden eines Mitarbeitenden mit Verantwortung für ein oder mehrere Zertifikate zur hektischen Suche nach einem Nachfolger beziehungsweise fällt erst dann auf, wenn die Anwendung nicht mehr funktioniert. Damit wird auch deutlich, dass es sich hierbei nicht um ein reines Technikthema handelt, sondern übergreifend betrachtet werden muss – von der Governance über die sorgfältige Definition und Implementierung von Prozessen bis abschließend dann zur technischen Umsetzung. Schließlich gilt auch, dass Zertifikatsmanagement nur so lange eine Nebenrolle spielt, bis es zu einem dadurch bedingten Ausfall kommt – und diese kamen letztes Jahr in 72 % der Organisationen vor (Quelle).
Die beschriebenen manuellen Prozesse gekoppelt mit der beschlossenen Umstellung für die öffentlichen Zertifikate werden die Arbeitsaufwände für die betroffenen Teams deutlich steigern: Die Verkürzung der Gültigkeitsdauer von Zertifikaten um etwa 85 % bis 2029 wird den Aufwand bis März 2026 verdoppeln (aufgrund der Verkürzung von 398 auf 200 Tage), bis März 2027 vervierfachen und bis März 2029 verachtfachen. Ein kurzes Rechenbeispiel zeigt diese Steigerung (angenommen wird, dass eine Zertifikatserneuerung 4h dauert, 500 TLS-Zertifikate vorhanden sind und ein Mitarbeitender 1.600 Stunden im Jahr arbeitet):
| Jahr | Rotationsdauer (in Tagen) | Anzahl Erneuerungen / Jahr | Aufwand in Stunden | Notwendige FTEs |
| 2025 | 398 | Ca. 450 | 1.800 | 1,15 |
| 2026 | 200 | Ca. 900 | 3.600 | 2,30 |
| 2027 | 100 | Ca. 1.800 | 7.200 | 4,50 |
| 2029 | 47 | Ca. 3.600 | 14.400 | 9,00 |
Lösungsansätze für Organisationen
Obwohl die Änderung lediglich öffentliche TLS-Zertifikate betrifft, sollten CISOs und CIOs die Umstellung als Chance begreifen, ganzheitliche moderne Vorgaben und Lösungen im Bereich des Zertifikatsmanagements einzuführen.
Aus CISO-Perspektive sollte das Zertifikatsmanagement klaren Vorgaben folgen, die seine Organisation im Bereich Kryptographie sicher aufstellen. Dabei sollte sowohl das Zukunftsthema Post-Quantum-Verschlüsselung, welches bereits heute durch die Möglichkeit von „harvest now, decrypt later“ Relevanz hat als auch möglicherweise geltende regulatorische Vorgaben (beispielsweise im Digital Operational Resilience Act) berücksichtigt werden. Die Umstellung der Gültigkeitsdauer von Zertifikaten ist hier der passende Anlass, die aktuellen Vorgaben zu überprüfen und anzupassen. Ziel muss es sein, klare Verantwortlichkeiten für Zertifikate zu schaffen, einen Lebenszyklus zu definieren und ihren Schutz sicherzustellen.
CIOs wiederum haben sogar einen noch höheren Handlungsdruck. Mit der Umstellung wird perspektivisch die Arbeitsbelastung des verantwortlichen Teams ansteigen, während gleichzeitig der Arbeitsmarkt sowie Kostendruck nur begrenzt Neueinstellungen zulassen. Damit führt kein Weg an einer kritischen Überprüfung der bestehenden Tool- und Prozesslandschaft vorbei – wenn diese keine weitestgehende Automatisierung des Zertifikatsmanagements zulassen, sollte gehandelt werden. Gleichzeitig kann diese Änderung auch als Chance begriffen werden, um zusätzlich die Prozesse und Tools rund um interne Zertifikate zu verbessern und zu automatisieren.
Konkret sollten CISO und CIO zusammen sicherstellen, dass mindestens folgende Punkte erfüllt werden:
- Es gibt klare Vorgaben in Bezug auf Kryptographie, die auch zukünftige Risiken wie Quantencomputing adressieren
- Alle Zertifikate der Organisation sind inventarisiert, Verantwortlichkeiten sind festgelegt und ein entsprechender Lebenszyklus ist aufgebaut
- Das Management von Zertifikaten erfolgt so automatisiert wie möglich
Fazit
Das CA/Browser Forum verkürzt die Gültigkeitsdauer von TLS-Zertifikaten bis 2029 auf 47 Tage, um Sicherheitsrisiken zu minimieren. Dies stellt viele Organisationen vor große Herausforderungen, weil die in der Vergangenheit häufig vernachlässigte Zertifikatsverwaltung deutlich komplexer wird. Da die erste Verkürzung auf 200 Tage bereits für März 2026 geplant ist, riskieren Unternehmen, die Gegenmaßnahmen hinauszögern, diese erste Anpassung mit einem unvollständigen Zertifikatsinventar, manuellen Prozessen und unklaren Zuständigkeiten zu beginnen. Das erhöht die Wahrscheinlichkeit von Ausfällen und vermeidbaren Kosten. CIOs und CISOs sind deshalb jetzt aufgefordert, sich aktiv mit dieser Veränderung auseinanderzusetzen, klare Verantwortlichkeiten festzulegen und moderne, automatisierte Prozesse einzuführen. Nur so lässt sich die gestiegene Arbeitsbelastung bewältigen und gleichzeitig die Sicherheit und Compliance langfristig gewährleisten.
Bei PwC bieten wir Unternehmen umfassende Unterstützung, von der Governance und Strategie bis hin zur Implementierung und Managed Services für ihre PKI-Lösung, und helfen ihnen so, die Auswirkungen kürzerer Zertifikatslaufzeiten zu absorbieren, ohne das Risiko oder den Personalaufwand zu erhöhen.
Der Autor
Follow us
