Web-PKI: Let’s Encrypt verkürzt Laufzeit von Zertifikaten auf 45 Tage

Kostenlose TLS-Zertifikate von Let’s Encrypt (LE) sind bald wesentlich kürzer gültig als gewohnt: Ihre Laufzeit sinkt von derzeit 90 Tagen auf die Hälfte. Als Certificate Authority (CA) setzt Let’s Encrypt damit eine Änderung der „Baseline Requirements“ um, die die Vergabe von Zertifikaten für die Web-PKI regeln. Zunächst schaltet LE im kommenden Mai einen Testbetrieb frei.

Am 13. Mai 2026 geht es los: Wer möchte, kann ab diesem Tag Zertifikate mit einer Laufzeit von 45 Tagen bestellen und muss dafür das optionale Zertifikatsprofil „tlsserver“ nutzen. Am 10. Februar 2027 sinkt die Laufzeit für alle neu ausgestellten Zertifikate dann zunächst auf 64 Tage und gut ein Jahr später, am 16. Februar 2028, auf 45 Tage.

Die meisten Administratoren, die für ihre Webserver die Zertifikate von Let’s Encrypt verwenden, dürften von der Änderung wenig bemerken: Ihre Automatisierung zur Erneuerung läuft künftig alle anderthalb statt drei Monate. Um derlei automatischen Helferlein zu assistieren, gibt es künftig eine Protokollerweiterung für ACME (Automatic Certificate Management Environment), die ACME Renewal Information (ARI).

Manuell erneuern? Lieber nicht!

Von einer manuellen Erneuerung der Zertifikate rät das Projekt schon seit langer Zeit ab, das Verfahren sei zu fehlerbehaftet und müsste nun doppelt so oft durchgeführt werden. Zudem sollten Administratoren sicherstellen, dass sie durch Monitoring-Systeme alarmiert werden, sobald eine Erneuerung fehlschlägt, empfiehlt Let’s Encrypt im Ankündigungs-Blogpost.

Wer sich noch immer mit der Automatisierung schwertut, goutiert womöglich die neue Verifizierungsmethode „DNS-PERSIST-01“. Hier muss ein DNS-Eintrag zur Überprüfung nur noch einmalig und nicht bei jeder Zertifikatserneuerung gesetzt werden. Allerdings muss DNS-PERSIST-01 noch durch die relevanten Gremien, also die IETF und das CA/Browser Forum, ratifiziert werden.

Hintergrund der Änderungen ist ebenfalls der mächtige Zusammenschluss der Browserhersteller und CAs. Vor allem Chrome, Mozilla und Co. sehen in langen Zertifikatslaufzeiten große Sicherheitsrisiken und betreiben seit Jahren Lobbyarbeit, die im vergangenen Herbst zur Entscheidung des CA/B geführt hat, die Laufzeiten verbindlich zu kappen.

(cku)