Let’s Encrypt kündigt Verkürzung der Zertifikatslaufzeit von 90 auf 45 Tage an (schrittweise Einführung bis 2028)

 (letsencrypt.org)
17 Punkte von davespark 2025-12-03 | 3 Kommentare | Auf WhatsApp teilen

Gründe für die Änderung

  • Anforderung gemäß den Standards des CA/Browser Forum (gilt identisch für alle öffentlichen CAs weltweit)
  • Stärkung der Internetsicherheit (kürzere Laufzeiten begrenzen im Fall eines Angriffs den Schadensumfang und erhöhen die Effizienz von Widerrufen)

Änderung der Zertifikatslaufzeit

  • Aktuell: 90 Tage
  • Ab 2028: 45 Tage

Änderung der Wiederverwendungsdauer der Domain-Eigentumsprüfung

  • Aktuell: 30 Tage
  • Ab 2028: 7 Stunden

Stufenweiser Einführungsplan (gilt für neu ausgestellte Zertifikate)

    1. Mai 2026: Opt-in-Profil (tlsserver) → Ausgabe von 45-Tage-Zertifikaten startet (Tests möglich)
    1. Februar 2027: Standardprofil (classic) → 64-Tage-Zertifikate + 10 Tage Wiederverwendung der Validierung
    1. Februar 2028: Standardprofil (classic) → 45-Tage-Zertifikate + 7 Stunden Wiederverwendung der Validierung

Was Nutzer tun müssen

  • Für die meisten Nutzer mit automatischer Erneuerung: keine zusätzliche Maßnahme erforderlich
  • Es muss jedoch unbedingt geprüft werden, ob der automatische Erneuerungszyklus mit 45-Tage-Zertifikaten kompatibel ist
  • Empfohlene Maßnahmen
    • ACME Renewal Information (ARI) aktivieren (präzise Hinweise zum richtigen Erneuerungszeitpunkt)
    • Bei Clients ohne ARI-Unterstützung: so konfigurieren, dass etwa bei 2/3 der Zertifikatslaufzeit erneuert wird
    • Manuelle Erneuerung nicht empfohlen (wäre zu häufig nötig)
    • Ein Monitoring-System für Zertifikatsabläufe sollte unbedingt eingerichtet werden

Neue Funktionen zur Vereinfachung der Automatisierung (geplant für 2026)

  • Neue Standardisierung der DNS-PERSIST-01-Challenge wird vorangetrieben
  • Besonderheit: Ein DNS-TXT-Record muss nur einmal eingerichtet werden und muss bei jeder Erneuerung nicht erneut geändert werden
  • → Vollautomatische Erneuerung auch ohne Berechtigung für automatische DNS-Updates möglich

Link zur offiziellen Ankündigung https://letsencrypt.org/2025/12/02/from-90-to-45

Fazit: Bis 2028 werden für alle Let’s-Encrypt-Nutzer automatische Erneuerungen im 45-Tage-Rhythmus, ARI und Monitoring zur Pflichtgrundlage.

Verwandte Beiträge

3 Kommentare

 
popopo 2025-12-05

Ich nutze Zertifikate in meinem Homelab und habe mich deshalb für TLS2030 interessiert und bereite mich darauf vor.

Da in Proxmox oder Nginx Proxy Manager Let's-Encrypt-Zertifikate automatisch ausgestellt werden können, gibt es bei einzelnen Domains kein besonderes Problem.

Wildcard-Zertifikate muss man einmal ausstellen und dann auf mehreren Systemen verwenden, daher ist ein System wie Hashicorp Vault unverzichtbar. Gibt es noch andere Methoden?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

Ich habe es mit einer solchen Architektur aufgebaut, wobei FreeIPA nicht zwingend nötig ist. Vault wird dann nicht zur Intermediate CA, sondern zur ROOT CA, und die ROOT CA kann auf jedem System als vertrauenswürdige CA registriert werden.

Auch bei FreeIPA wird beim Installieren des FreeIPA-Clients eine vertrauenswürdige CA registriert, daher ist es letztlich die Frage, ob man FreeIPA verwendet oder die vertrauenswürdige CA mit Ansible usw. registriert.

FreeIPA hat zwar den Vorteil, dass es sich als internes DNS nutzen lässt, aber da ich die Hürden von der Installation über den Betrieb bis zur Störungsbehebung für recht hoch halte, denke ich, dass es besser ist, nur Vault zu verwenden.
 
byun1114 2025-12-04

Ich nutze ein ausgestelltes Wildcard-Zertifikat, aber ich weiß nicht, wie sich das ändern wird.
 
techiemann 2025-12-04

Private Nutzer werden damit kaum belastet sein, da Let’s Encrypt-Zertifikate in der Regel ohnehin per Auto-Renew verlängert werden. Für Unternehmen und Betreiber, die Zertifikate manuell verwalten, könnte das jedoch Aufwand und Kosten erhöhen.