Hauptbereich

Adrian Müller • 11.11.2025

47 Tage, 10 Tage – TLS / SSL-Zertifikate und Domain-Validierung mit deutlich kürzerer Gültigkeitsdauer

Einordnung und nächste Schritte von SwissSign. Das CA/Browser-Forum hat die schrittweise Verkürzung der Laufzeit für TLS/SSL-Zertifikate und der Gültigkeitsdauer für die Domain-Überprüfung beschlossen – mit weitreichenden Folgen für IT-Teams weltweit. Hier eine kurze Zusammenfassung der Lage und wie wir bei SwissSign Sie weiter unterstützen werden.

Am 4. April 2025 hat das CA/Browser-Forum eine tiefgreifende Entscheidung getroffen: Die maximale Laufzeit für öffentliche TLS-Zertifikate soll schrittweise auf 47 Tage reduziert werden. Die Domains müssen alle 10 Tage neu überprüft werden – ein massiver Einschnitt für viele Unternehmen, die ihre Zertifikate bisher mit jährlichem Zyklus verwaltet haben. 

In diesem Beitrag fassen wir den aktuellen Stand zusammen, zeigen die weitere Entwicklung auf – und was SwissSign-Kunden konkret erwarten können.

Zeitplan für die Reduktion der Gültigkeitsdauer

Die Mitglieder des CA/Browser-Forums haben mit breiter Mehrheit die Verkürzung der maximalen Gültigkeitsdauer von öffentlich vertrauenswürdigen TLS / SSL-Zertifikaten auf 47 Tage beschlossen. Die zulässige Dauer wird über mehrere Jahre hinweg schrittweise gesenkt:

  • Per 15. März 2026: maximal 200 Tage (SwissSign-Umsetzung per 9. März 2026, maximal 198 Tage)

  • Per 15. März 2027: maximal 100 Tage (SwissSign: 98 Tage),

  • Per 15. März 2029: maximal 47 Tage (SwissSign: 45 Tage)

Im gleichen Zug werden auch die Fristen für die Wiederverwendbarkeit von Domain-Validierungsinformationen deutlich reduziert.

  • Per 15. März 2026 sinkt die maximale Wiederverwendbarkeit auf 200 Tage (SwissSign-Umsetzung per 9. März 2026, 198 Tage),

  • Per 15. März 2027: 100 Tagen

  • Per 15. März 2029: 10 Tage

Zusätzlich wird auch die Gültigkeit von Identitätsprüfungen im Rahmen von OV-Zertifikaten eingeschränkt:

Per dem 15. März 2026 können Validierungen der Subject Identity Information (SII) – also Angaben zur Organisation wie Firmenname – nur noch 398 Tage (13 Monate) lang wiederverwendet werden (statt bisher 825 Tage, 25 Monate). Diese Änderungen betreffen ausschliesslich OV-Zertifikate. Domain Validated (DV)-Zertifikate sind hiervon nicht betroffen, da sie keine SII enthalten. 

Das CA/B-Forum will mit diesen Änderungen die Risiken durch kompromittierte oder falsch ausgestellte Zertifikate minimieren, die flächendeckende Einführung von Änderungen beschleunigen, den Druck zur Automatisierung erhöhen und den Lebenszyklus von Zertifikaten enger an Best Practices anpassen. Hintergrund ist das Ziel, die Web-PKI widerstandsfähiger zu machen – und die die Cybersicherheit insgesamt zu erhöhen. 

Zusammenfassung bei Heise Online: TLS-Zertifikate bald nur noch 47 Tage gültig 

Hintergrund: Ballot Vote des CA/B-Forum auf GitHub

Bereiten Sie sich vor auf 47-Tage-Zertifikate und PQC

Von immer kürzer werdenden Laufzeiten bis hin zur Umstellung auf Post-Quantum-Technologie – die manuelle Zertifikatsverwaltung stösst an ihre Grenzen. Das Certificate Lifecycle Management von SwissSign automatisiert Discovery, Verwaltung und Erneuerung von Zertifikaten und sichert dabei die schweizerisch-europäische digitale Souveränität.

  • Inventarisieren, Verwalten und Automatisieren Ihres gesamten Zertifikatsbestands – unabhängig von der Certificate Authority und dem Standort

  • In der Schweiz gehostete, souveräne PKI für regulierte Branchen

  • Bereit für kürzere Laufzeiten und Krypto-Agilität ohne manuellen Aufwand

Demo-Video anschauen  CLM entdecken

Was nicht betroffen ist

  • Ihre SwissSign Managed PKI kostet weiterhin gleich viel. Das Preismodell bezieht nicht in Betracht, ob sie für Ihre (Web) Adresse ein Zertifikat einmal oder zwölfmal pro Jahr beziehen

  • Interne (nicht öffentliche Zertifikate) Zertifikate (z. B. für interne Server, VPNs oder Geräte): Die Regelung bezieht sich ausschliesslich auf öffentlich vertrauenswürdige Zertifikate

  • Bestandszertifikate: Eine Rückwirkung auf bereits ausgestellte Zertifikate ist nicht vorgesehen

  • Code Signing, S/MIME, Dokumentensignaturen: Diese sind nicht Teil des betroffenen Standards. Für S/MIME wurde die maximale Laufzeit bereits von drei auf zwei Jahre verkürzt (hier unser Blog-Beitrag dazu)

Auswirkungen auf Ihr Unternehmen oder Ihre Organisation

Je nach Setup und Reifegrad der Zertifikatsverwaltung können die Folgen unterschiedlich sein:

  • Manuelle Prozesse (Erneuerung via Ticket, Upload, manuelle Installation) sind mit 47-Tage-Zertifikaten nicht mehr praxistauglich

  • Automatisierung wird also unausweichlich – z. B. via ACME-Protokoll oder API-gestützte Plattformen beziehungsweise mittels Zertifikatsverwaltungs-Software, einer Certificate Lifecycle Management-Lösung (CLM). Ein CLM orchestriert den gesamten Zertifikatslebenszyklus automatisiert – von der Bestellung über die Erneuerung bis zur Verteilung und Installation. Statt manueller Prozesse übernimmt eine CLM-Plattform das Monitoring, sendet rechtzeitig Warnungen vor Ablauf, erneuert Zertifikate automatisch und stellt sicher, dass keine kritischen Systeme durch abgelaufene Zertifikate ausfallen. Gerade bei 47-Tage-Zyklen ist eine CLM-Lösung keine Option mehr, sondern eine Notwendigkeit.

  • Zertifikats-Transparenz und Monitoring müssen enger getaktet werden (inkl. Warn- und Eskalationsmechanismen), auch dies mittels CLM-Lösung 

Wer bisher jährlich oder halbjährlich „aufräumt“, muss künftig auf eine laufende Orchestrierung umstellen.

Wie SwissSign Prozesse anpassen wird

Als etablierte Schweizer CA arbeiten wir kontinuierlich an der Weiterentwicklung unserer bestehenden Dienste:

Wir verbreitern unsere Zusammenarbeit mit Partnern für noch mehr Automatisierungsoptionen, insbesondere durch unsere strategische Partnerschaft mit Evertrust für Certificate Lifecycle Management.

Im ersten Schritt wird die Einheit der Gültigkeitsdauer unserer TLS/SSL-Zertifikate per Januar 2026 auf Tage umgestellt, maximal 365.

Weitere Änderungen zur Vorbereitung setzen wir per 09. März 2026 um: 

  • Die maximale Gültigkeitsdauer von TLS/SSL-Zertifikaten wird auf 198 Tage reduziert.

  • Die maximale Wiederverwendbarkeit von Domain-Validierungsinformationen wird auf 198 Tage reduziert.

  • Bestehende Domain-Validierungen, die älter als 198 Tage sind (also Validierungen, die vor dem 23. August 2025 durchgeführt wurden), verlieren ihre Gültigkeit. Das bedeutet: Domains müssen erneut validiert werden, um weiterhin TLS/SSL‑ und S/MIME‑Zertifikate ausstellen zu können.

  • Validierungen von Subject Identity Information (SII) – wie Name der Organisation, Adresse und andere Identifikationsmerkmale – können nur noch 12 Monate (statt bisher 25 Monate) wiederverwendet werden.

  • Die Identität von RAOs für MPKI OV‑Zertifikaten muss neu validiert werden, sofern ihre letzte Identitätsprüfung länger als 13 Monate zurückliegt. Andernfalls können sie sich nicht mehr im MPKI‑Portal anmelden.

Ausblick: Im Sommer 2026 wird SwissSign automatisierte Domain-Validierungsmethoden gemäss CA/Browser Forum einführen. Detaillierte Informationen folgen zu einem späteren Zeitpunkt.

Was wir empfehlen

Starten Sie die Automatisierung – bereits im kommenden Jahr muss es deutlich schneller gehen als heute! Beginnen Sie mit den folgenden Grundfragen: 

  • Bestandsaufnahme: Welche Zertifikate sind in Ihrem Unternehmen wo und für welchen Zweck im Einsatz und welche davon sind öffentlich vertrauenswürdige Internet-Zertifikate?

  • Prozess-Review: Wie läuft die Erneuerung heute ab – manuell, teilautomatisiert, vollautomatisch?

  • Falls Sie noch Einzelzertifikate im Einsatz haben: Vereinfachen Sie Ihr Zertifikate-Management für Internet-Zertifikate (TLS / SSL und E-Mail): Mit unserer Managed PKI (MPKI) können Sie Zertifikate für Ihre Mitarbeitenden, Kunden und Partner eigenständig und individuell für Ihre Bedürfnisse verwalten und sparen im Vergleich zum Kauf einzelner Zertifikate. Jetzt MPKI bestellen

  • Technische Vorbereitung: Ist eine CLM-Lösung bereits im Einsatz? Falls nein: Mit SwissSign Certificate Lifecycle Management erhalten Sie eine zukunftssichere Plattform für die vollautomatisierte Zertifikatsverwaltung.

  • Planung für höhere Frequenz: Monitoring, Audits, Alerting anpassen