Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten

Last change on 2026-02-23 • Created on 2026-02-19 • ID: KO-529BD
Was ist ein SSL-Zertifikat überhaupt?

Stell dir vor, jemand ruft deine Webseite auf.

Ohne SSL läuft die Verbindung „offen“ durchs Internet. Mit SSL (bzw. korrekt: TLS) wird daraus HTTPS – die Verbindung ist:

  • verschlüsselt → niemand kann mitlesen

  • authentifiziert → der Browser weiß, dass er wirklich mit unserem Server spricht

  • integritätsgeschützt → Daten können unterwegs nicht verändert werden

Das kleine Schloss im Browser in der Zeile der URL gibt dir mehr Informationen zu der verschlüsselten Verbindung und dem SSL-Zertifikat .

Damit das funktioniert, besitzt der Server ein SSL-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde. Dieses Zertifikat bestätigt im Wesentlichen:

„Dieser Server gehört wirklich zu dieser Domain.“

Wichtig: Ein SSL-Zertifikat hat immer eine begrenzte Laufzeit und muss regelmäßig erneuert werden.

Hintergrund - was hat sich verändert?

Bisher war es so:

Ein öffentlich vertrauenswürdiges SSL-Zertifikat durfte ungefähr 13 Monate (398 Tage) gültig sein. Das war lange der Standard.

Browserhersteller und Zertifizierungsstellen haben sich jedoch darauf geeinigt, diese Laufzeit schrittweise drastisch zu verkürzen.

Warum - und welche Vorteile hat das?

  • Wenn ein Zertifikat kompromittiert wird, kann es kürzer missbraucht werden

  • Sicherheitsstandards und Kryptografie können schneller aktualisiert werden

Die geplante Entwicklung:

Zeitraum Maximale Gültigkeit
Heute ~ 398 Tage
Ab März 2026 200 Tage
Ab 2027 100 Tage
Ab 2029 47 Tage

Das bedeutet: Statt einmal pro Jahr müssen Zertifikate künftig mehrmals pro Jahr erneuert werden. Später sogar fast monatlich.

Wenn wir Zertifikate weiterhin manuell beantragen, austauschen und installieren, bedeutet das:

  • deutlich mehr Arbeitsaufwand

  • höheres Risiko, dass ein Zertifikat abläuft

  • Webseiten oder APIs wären dann plötzlich nicht mehr erreichbar („Zertifikat abgelaufen“)

Kurz gesagt: Das bisherige Vorgehen, das Ablaufdatum im Kalender zu notieren und einmal im Jahr zu tauschen, funktioniert in Zukunft nicht mehr praktikabel.

Um unnötiges Chaos zu vermeiden, muss der Prozess automatisiert werden.

Was muss sich dafür ändern?

Wir können den Prozess nur automatisieren, wenn eine der folgenden Bedingungen erfüllt ist:

  • Du benutzt unsere Nameserver und erlaubst uns das DNS-Zonefile zu bearbeiten.

    • Das kannst du in der konsoleH unter deiner Domain im linken Menü bei "Einstellungen; DNS-Verwaltung" einsehen und ändern.
    • Dann kann die Erneuerung des SSL-Zertifikats über DNSAuth automatisiert erfolgen.

  • Du benutzt unseren Hostingserver.

    • Wenn du dir nicht sicher bist, welchen Hostingserver du verwendest, hast du mehrere Möglichkeiten das zu überprüfen:
      • Schaue in der Übersicht der konsoleH nach, ob der A-Record deiner Domain die gleiche IP-Adresse wie die deines Hostingservers hat.
      • Der A-Record lässt sich auch über Online-Tools herausfinden.
      • Oder du verwendest den auf deine Domain angepassten Befehl auf der Kommandozeile: dig A domain.tld
    • Dann ist die Authentifizierung über FileAuth weiterhin möglich.
    • Bitte beachte, dass Wildcard-Zertifikate nicht über FileAuth abgewickelt werden können. Außerdem können hier evtl. Proxy-Setups (z.B. Cloudflare ) Probleme machen, wenn sie z.B. die Pfade nicht korrekt weitergeben.

Was wird nicht mehr unterstützt?

Bisher haben wir auch SSL-Zertifikate manuell erneuert, bei denen der Prozess nicht automatisiert ablaufen konnte (z.B. Kunde hinterlegt selbst DNS- oder FileAuth). Durch die Verkürzung der Gültigkeit von SSL-Zertifikaten entsteht für Zertifikate, die manuell erneuert werden müssen, aber deutlich mehr Arbeitsaufwand. Auch für dich als Kunden. Deshalb können wir das ab 01.08.2026 bei kostenlosen Zertifikaten (Let's Encrypt und Basic) nicht mehr unterstützen. Kostenlose Zertifikate werden nur noch ausgestellt, wenn der Prozess vollständig automatisiert ablaufen kann. Das ist entweder der Fall, wenn du unsere Nameserver verwendest und uns erlaubst, das Zonefile zu bearbeiten, oder wenn du unseren Hostingserver nutzt.

Gibt es dabei einen Unterschied zwischen kostenpflichtigen Business-Zertifikaten (z.B. Thawte) und kostenlosen SSL-Zertifikaten?

  • Bei kostenlosen Zertifikaten (Let's Encrypt oder Basic) unterstützen wir die manuelle Authentifizierung (Kunde hinterlegt selbst DNS- oder FileAuth) nicht mehr. Es werden nur noch Zertifikate ausgestellt, wenn der Prozess vollständig automatisiert ablaufen kann.
  • Bei Business-Zertifikaten (z.B. Thawte) kannst du zunächst weiterhin "ein Jahr kaufen". Man muss aber zum Ende der ersten Laufzeit des Zertifikats (ca. 1/2 Jahr) das Zertifikat mittels Reissue erneuern, um die Restlaufzeit zu erhalten. Wir werden dazu eine Erinnerungsmail verschicken.
  • Du kannst weiterhin SSL-Zertifikate von Drittanbietern in der konsoleH importieren. Wähle dazu die Domain und danach im linken Menü: "Einstellungen; SSL-Manager".

Wenn du dir unsicher bist oder weitere Fragen hast, kannst du uns jederzeit über eine Supportanfrage kontaktieren. Wir beraten dich gerne.

Table of Contents