Zum Inhalt springen
Enterprise
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen
Datargo OneEnterprise Single-Pane-of-Glass-Cockpit für Konzerne. Alle Module aus einer Hand. Mehr erfahren
Flaggschiffe
Datargo Monitor Verfügbarkeit und Security Posture. Datargo CRM Support-Hub für jede Marke.
Betrieb & Commerce
Datargo ID SSO und MFA für die ganze Suite. Datargo ERP GoBD-konformer Commercial-Core.
Vertrauen & Krypto
NextPKINeu Certificate Lifecycle, 47-Tage-ready.
Bundle des Monats
Reliability Bundle

Datargo Monitor + NextPKI als gemeinsam abgerechnetes Paket. NIS2-Evidence und Certificate-Lifecycle aus einem Cockpit.

Mehr erfahren
Nach Anwendungsfall
Reliability & Security NIS2-Evidence aus Monitoring + Incident. Kundenservice-Hub Live-Chat, Tickets, Multi-Brand. Identität & SSO Eine Identität für alle Module.
Nach Compliance
NIS2-Evidence Nachweise auf Knopfdruck. DORA-Resilienz Finanz-Sektor, Register-of-Information. ISO 27001 & GoBD Annex-A-Kontrollen und E-Rechnung.
Nach Größe
Solo & Indie-Team In 5 Minuten produktiv. Mittelstand SSO, Audit-Trail, Multi-Brand. Konzern & Public Sector Hunderte Sitze, Region-Pinning.
Sovereignty Kit
NIS2-Nachweis-Paket

Vorgefertigte Kontrollen für Datargo Monitor und Datargo CRM, auf NIS2-Pflichten abgebildet. Direkt in den Pilot starten.

NIS2-Whitepaper lesen
Lernen
Dokumentation Modul-Guides, API-Referenz, Schnellstart. Best-Practice-Guides NIS2-Setup, Multi-Brand-Datargo CRM, SSO-Rollout. Blog Release-Notes, Compliance-News, Roadmap.
Vertrauen
Trust Center Hosting, Zertifikate, Sub-Prozessoren. Status-Page Live-Verfügbarkeit aller Datargo-Module. Legal & Datenschutz AVV, DPA, Sub-Prozessoren-Liste.
Kunden
Kundenstimmen Fallstudien aus Finanz, Public, Tech. Partner-Programm Systemhäuser, Implementierer, MSPs. Events & Webinare it-sa, EIC, NIS2-Roadshows.
Aus dem Cockpit
47-Tage-TLS ab 2029

NextPKI ist bereits auf die neue CA/B-Forum-Realität vorbereitet. Whitepaper und Migrations-Guide jetzt verfügbar.

Whitepaper lesen
Plattform Datargo Monitor Datargo CRM Datargo ID Datargo ERP NextPKI
Datargo One Preise Compliance
Sprache
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen Gespräch vereinbaren
Zum Inhalt springen
PKI & Zertifikate

47-Tage-Zertifikate: Der CA/Browser-Fahrplan bis 2029

09.06.2026 · 4 Min. Lesezeit

Das CA/Browser-Forum senkt die maximale TLS-Laufzeit stufenweise auf 47 Tage. Was die Stufen 200, 100 und 47 Tage für Discovery, Renewal-Automatisierung und Betriebsteams bedeuten.

Die Diskussion ist entschieden, und ein Teil davon ist bereits Betriebsrealität: Seit dem 15. März 2026 dürfen öffentlich vertrauenswürdige TLS-Zertifikate höchstens 200 Tage gültig sein, nicht mehr 398. Das ist die erste Stufe eines Fahrplans, den das CA/Browser-Forum im April 2025 mit Ballot SC-081v3 beschlossen hat: einstimmig, mit 29 Ja-Stimmen und keiner Gegenstimme. Am Ende dieses Fahrplans steht eine maximale Laufzeit von 47 Tagen.

Wer Zertifikate noch von Hand bestellt und im Kalender notiert, sollte die nächsten drei Jahre als Umbauprojekt einplanen, nicht als Reihe von Einzelterminen.

Der Fahrplan in Zahlen

Die maximale Gültigkeit sinkt in klar terminierten Stufen:

  • bis 14. März 2026: 398 Tage (der bisherige Standard)
  • ab 15. März 2026: 200 Tage (gilt heute)
  • ab 15. März 2027: 100 Tage
  • ab 15. März 2029: 47 Tage

Parallel, und das ist der operativ anspruchsvollere Teil, verkürzt sich die Wiederverwendbarkeit der Domain-Validierung (Domain Control Validation, DCV). Die einmal geprüfte Kontrolle über eine Domain darf künftig deutlich kürzer „nachgenutzt" werden, bevor sie erneut bestätigt werden muss:

  • ab 15. März 2026: 200 Tage
  • ab 15. März 2027: 100 Tage
  • ab 15. März 2029: 10 Tage

Für OV- und EV-Zertifikate sinkt zusätzlich die Wiederverwendbarkeit der geprüften Organisationsdaten (Subject Identity Information) zum 15. März 2026 von 825 auf 398 Tage.

Die 47 Tage sind also nur die Schlagzeile. Die 10 Tage DCV-Reuse ab 2029 sind der eigentliche Taktgeber: Ab dann muss faktisch alle zehn Tage neu nachgewiesen werden, dass die Domain noch unter eigener Kontrolle steht.

Warum die Verkürzung kommt

Hinter dem Schritt steht eine einfache Sicherheitslogik. Ein Zertifikat ist eine Vertrauensaussage mit Verfallsdatum. Je länger es gültig ist, desto länger wirkt eine Fehlausstellung, ein kompromittierter Schlüssel oder ein veralteter kryptografischer Parameter fort. Der klassische Gegenmechanismus, die Sperrung über CRL und OCSP, funktioniert in der Praxis unzuverlässig: Sperrlisten werden nicht überall zeitnah ausgewertet, OCSP wird zunehmend abgekündigt. Kurze Laufzeiten ersetzen die Sperrung durch das Ablaufen. Ein Problem heilt sich, weil das betroffene Zertifikat ohnehin bald ungültig wird.

Der zweite Treiber ist Krypto-Agilität. Wer Zertifikate regelmäßig erneuert, kann Algorithmen, Schlüssellängen und Profile im laufenden Betrieb wechseln, eine Grundvoraussetzung für die anstehende Migration zu Post-Quantum-Verfahren. Lange Laufzeiten zementieren dagegen den Status quo.

Was das für den Betrieb bedeutet

Die zentrale Folge ist banal und unausweichlich: Manuelle Erneuerung skaliert nicht mehr. Ein 47-Tage-Zertifikat wird, mit vernünftigem Puffer, etwa alle 30 Tage ausgetauscht. Über einen mittelgroßen Bestand hinweg ist das kein Kalendereintrag mehr, sondern ein Prozess, der ohne menschliches Zutun laufen muss.

Drei Fähigkeiten entscheiden darüber, ob dieser Umbau gelingt:

Automatisierung. ACME (RFC 8555) ist der etablierte Standard für automatische Ausstellung und Erneuerung, nicht nur für Let’s Encrypt, sondern zunehmend auch für kommerzielle und interne CAs. Wo ACME nicht greift, braucht es API-gestützte Renewal-Workflows mit Approval, damit Compliance-Kontrollen erhalten bleiben.

Discovery. Automatisieren lässt sich nur, was man kennt. Der typische Ausfall im Jahr 2029 wird nicht das gut gepflegte Zertifikat auf dem Hauptsystem sein, sondern das vergessene auf einem Load-Balancer-Endpoint, einer Appliance oder in einem Cloud-Account, den niemand mehr auf dem Schirm hat. Aktive Netzscans und passive Cloud-Discovery sind die Voraussetzung dafür, dass kurze Laufzeiten nicht zu kurzfristigen Ausfällen werden.

Eigentümerschaft. Jedes Zertifikat braucht einen klar zugeordneten Verantwortlichen, eine bekannte CA und ein hinterlegtes Erneuerungsverfahren. Ein Inventar, das diese drei Angaben pro Zertifikat führt, ist die eigentliche Versicherung gegen die 47-Tage-Realität.

Genau dieses Muster (Discovery zuerst, dann CA-agnostische Automatisierung mit Approval) liegt unserem Modul NextPKI zugrunde. Die regulatorische Stoßrichtung ist davon unabhängig: Wer den Bestand sichtbar macht und die Erneuerung automatisiert, ist vorbereitet, ganz gleich mit welchem Werkzeug.

Was jetzt sinnvoll ist

Drei Jahre klingen nach viel Zeit, aber die 200-Tage-Stufe läuft bereits. Konkret lohnt sich jetzt: ein vollständiges Inventar aller TLS-Zertifikate über Netz, Cloud und Endpunkte hinweg; die Identifikation aller Stellen, an denen heute noch manuell erneuert wird; ein Pilot mit ACME-basiertem Auto-Renewal auf unkritischen Diensten; und die Klärung, welche internen Systeme bis 2029 zehntägige Domain-Revalidierung technisch überhaupt mittragen können.

Die 47 Tage kommen nicht überraschend und nicht auf einmal. Sie kommen in Stufen, und die erste steht bereits.

Zurück zum Blog

Datargo Datargo

Die europäische Business Operations Platform. Monitoring, Kundenservice, Identität, Buchhaltung und Zertifikate in einer souveränen Suite. Auditierbar by design. Made in Germany.

EU-Hosting Frankfurt DSGVO-nativ Made in Germany
Plattform
  • Datargo One
  • Datargo Monitor
  • Datargo CRM
  • Datargo ID
  • Datargo ERP
  • NextPKI
Lösungen
  • Reliability & Posture
  • Kundenservice-Hub
  • Identität & SSO
  • Commerce & GoBD
  • Skalierung
Compliance
  • NIS2-Evidence
  • DORA-Resilienz
  • ISO 27001-Mapping
  • GoBD & E-Rechnung
  • Souveränität
Branchen
  • Finanzdienstleister
  • Public Sector
  • Health & Pharma
  • Industrie & TISAX
  • SaaS & Tech
Ressourcen
  • Trust Center
  • Dokumentation
  • Status-Page
  • Kundenstimmen
  • Partner-Programm
  • Blog
Unternehmen
  • Datargo One für Konzerne
  • 90 Tage testen
  • Gespräch vereinbaren
  • Kontakt
  • Karriere
© 2026 Datargo GmbH. Alle Rechte vorbehalten.
Impressum Datenschutz AGB AVV SLA Sub-ProzessorenDORA / NIS2
Deutschland · Deutsch

Datargo® und Databurg® sind eingetragene Marken der Datargo GmbH. Alle weiteren genannten Produktnamen, Logos und Marken sind Eigentum ihrer jeweiligen Inhaber.

Cookies & optionale Funktionen. Datargo nutzt technisch notwendige Cookies. Optional aktivieren wir Komfortfunktionen wie unseren Live-Chat-Support, einen eigenen Datargo-Dienst, der dabei personenbezogene Daten verarbeitet. Sie können alles akzeptieren oder bei den notwendigen Cookies bleiben.

Mehr im Datenschutz