Deutsch

Neue SSL-Zertifikatslaufzeiten im Überblick

Folgende Certificate Authorities setzen die neuen Vorgaben ab 2026 um

Unsere Meinung dazu

English

Overview of the new SSL certificate validity periods

The following Certificate Authorities will implement the new requirements from 2026

Our opinion on those changes

Deutsch

Neue SSL-Zertifikatslaufzeiten im Überblick

Die Umstellung erfolgt stufenweise:

-Ab 2026: maximal 199 Tage Laufzeit

-Ab März 2027: maximal 100 Tage Laufzeit

-Ab 2029: maximal 47 Tage Laufzeit

Damit verändert sich das bisherige Modell grundlegend:

Aus einer jährlichen Zertifikatsverlängerung wird künftig ein kontinuierlicher Erneuerungsprozess.

Die neuen Laufzeiten gelten für alle neu ausgestellten und erneuerten öffentlichen TLS/SSL-Zertifikate.

Folgende Certificate Authorities setzen die neuen Vorgaben ab 2026 um

DigiCert: ab 24. Februar 2026 (199 Tage)

Sectigo: ab 12. März 2026 (199 Tage)

Certum: ab 13. März 2026 (199 Tage)

GlobalSign: ab 15. März 2026 (199 Tage)

D-Trust: ab Mitte März 2026 (199 Tage)

SwissSign: ab 09. März 2026 (198 Tage)

Unsere Meinung dazu

Kürzere Laufzeiten für öffentliche TLS/SSL-Zertifikate verbessern die Internetsicherheit durchaus, jedoch nur bis zu einem gewissen Grad.

Der Nutzen ist real , wenn auch begrenzt , und resultiert hauptsächlich aus der Verkürzung des "Schadenszeitfensters" anstatt Angriffe von vornherein zu verhindern.

Phishing, Kompromittierungen oder Fehler der Zertifizierungsstellen (CAs) werden dadurch nicht eliminiert - es wird hauptsächlich begrenzt, wie lange diese Schwachstellen ausnutzbar bleiben.

Der Sicherheitsvorteil ist in jenen Organisationen am größten , die bei jeder Erneuerung ihre Schlüssel rotieren und ein robustes , automatisiertes Certificate Lifecycle Management betreiben.

Wie einige IT-Experten angemerkt haben , wird dies für viele Unternehmen anfangs vor allem operativen Mehraufwand (Kopfzerbrechen) bei eher bescheidenen Sicherheitsgewinnen bedeuten.

Auch wenn die Ausstellung der Zertifikate selbst nicht teurer werden sollte - da kommerzielle CAs jährliche Abo-Modelle nutzen und Validierungsdaten (wie Firmenadressen) bis zu ein Jahr lang zwischengespeichert werden - , entstehen erhebliche versteckte Kosten.

Diese liegen im zusätzlichen IT-Arbeitsaufwand und in der Infrastruktur , die für die vollständige Automatisierung dieser kontinuierlichen Erneuerungen erforderlich sind.

English

Overview of the new SSL certificate validity periods

The changeover will be implemented in stages:

-From 2026: maximum 199 days validity

-From March 2027: maximum 100 days validity

-From 2029: maximum 47 days validity

This fundamentally changes the previous model: instead of renewing certificates once a year , it will become a continuous renewal process in future.

The new validity periods apply to all newly issued and renewed public TLS/SSL certificates.

These certificate authorities are changing their validity periods.

The following Certificate Authorities will implement the new requirements from 2026

DigiCert: from 24 February 2026 (199 days)

Sectigo: from 12 March 2026 (199 days)

Certum: from 13 March 2026 (199 days)

GlobalSign: from 15 March 2026 (199 days)

D-Trust: from mid-March 2026 (199 days)

SwissSign: from 9 March 2026 (198 days)

Our opinion on those changes

Shorter public TLS/SSL certificate lifetimes do improve Internet security , but only to a certain degree.

The gain is real yet limited , and it comes mainly from reducing the "time window of harm" rather than preventing attacks outright.

It will not eliminate phishing , compromise , or CA mistakes - it mainly limits how long those failures remain exploitable.

The security upside is strongest in organizations that rotate keys on each renewal and run robust automated certificate lifecycle management.

As some IT experts have pointed out , for many organizations , this will initially be mostly an operational headache with modest security gains.

While the certificates themselves should not cost more to issue - as commercial CAs use annual subscription models and validation data (like company addresses) is cached for up to a year - there will be a significant hidden cost in the IT labor and infrastructure required to fully automate these continuous renewals.