Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.
Ab dem 13. Mai 2026 können Admins erstmals 45-Tage-Zertifikate testen, sofern sie das neue Profil tlsserver verwenden. Danach erfolgt die schrittweise Umstellung:
– 10. Februar 2027: maximale Laufzeit sinkt auf 64 Tage
– 16. Februar 2028: endgültige Reduktion auf 45 Tage
Für die Mehrheit der Nutzer dürfte sich wenig ändern, da automatische Erneuerungsprozesse künftig einfach häufiger laufen – etwa alle sechs Wochen statt alle drei Monate. Unterstützend führt Let’s Encrypt die ACME-Erweiterung ARI (ACME Renewal Information) ein, die besseren Einblick in Erneuerungszeitpunkte ermöglicht.
Manuelle Zertifikatserneuerungen stuft das Projekt weiterhin als fehleranfällig ein und rät dringend davon ab. Stattdessen sollten Monitoring-Systeme eingerichtet sein, um fehlgeschlagene Auto-Renewals frühzeitig zu erkennen.
Einen Komfortgewinn verspricht die geplante Challenge-Methode DNS-PERSIST-01: Ein einmal gesetzter DNS-Record soll künftig dauerhaft für die Domain-Verifikation ausreichen. Die Methode muss jedoch noch von IETF und CA/B-Forum abgesegnet werden.
Getrieben wird die Reform von Browserherstellern wie Chrome und Mozilla, die lange Zertifikatslaufzeiten als Sicherheitsrisiko sehen und seit Jahren auf kürzere Intervalle drängen.
