Laut den kürzlich aktualisierten Baseline Requirements des CA/Browser-Forums soll die maximale Lebensdauer von Zertifikaten, die ab dem 15. März 2026 ausgestellt werden, nur noch 200 Tage betragen. Ab dem 15. März 2027 soll sie dann bei nur noch 100 Tagen, ab dem 15. März 2029 sogar bei nur noch 47 Tagen liegen. Gleichzeitig soll auch das Zeitfenster für die Wiederverwendung von Domain- und IP-Validierungsdaten schrumpfen.

Viele IT-Entscheider unterschätzen die Tragweite dieser Umstellung. Sie denken linear. Sie berücksichtigen nicht, dass die geforderte Frequenz ihrer Zertifikatserneuerungen in den kommenden Jahren nicht-linear ansteigen wird – und das massiv:

• 200 Tage (ab dem 15. März 2026) bedeutet eine Verdoppelung des gegenwärtigen Erneuerungsaufwands,
• 100 Tage (ab dem 15. März 2027) eine Vervierfachung,
• 47 Tage (ab dem 15. März 2029) eine Verachtfachung.

Mit einfachen Tabellenkalkulationsprogrammen wird sich die ohnehin stetig wachsende Masse an Zertifikaten damit schlichtweg nicht mehr bewältigen lassen. Und das nicht einmal allein aufgrund der bloßen Anzahl der benötigten Tabellenzeilen, sondern einfach weil sich der komplexe Prozess dahinter – Entdeckung, Ownership, Genehmigungsschleifen, Bereitstellungsfenster, Ausnahmebehandlungen und Auditierbarkeit – bei einem solchen Arbeitsvolumen manuell nicht mehr systematisch und umfassend steuern und bewältigen lassen wird.

Der zentrale Gedankenfehler liegt darin, Zertifikate als einfache Inventarobjekte zu begreifen – und zu behandeln. Tatsächlich handelt es sich um kritische operative Ereignisse, die, falsch organisiert und umgesetzt, erhebliche negative Konsequenzen für das Alltagsgeschäft nach sich ziehen können. Bei 398 Tagen maximaler Zertifikatslaufzeit kann ein Unternehmen etwaige Ineffizienzen, unklare Zuständigkeiten und zersplitterte Tools noch ‚irgendwie‘ absorbieren. Bei 100 Tagen schon zeigt diese Vorgehensweise aber erste Risse. Zertifikats-Probleme dringen nach außen, werden für Kunden und Partner sichtbar, schädigen Umsatz und Gewinn.

Die diesjährige Reduzierung auf 200 Tage ist für viele Unternehmen schmerzhaft – durch Überstunden und manuelle Kraftakte aber doch noch irgendwie händelbar. In vielen Managements wird sie aber auch eine gefährliche Illusion wecken: dass man noch einmal Zeit, einen letzten Aufschub, erhalten hätte.

Gerade jetzt aber, noch in diesem Jahr, sollte in die Automatisierung der eigenen PKI investiert werden – um sich ein lückenloses Inventar aufzubauen, Accountable Owners zuzuweisen, Richtlinien zu standardisieren und Workflows zu automatisieren. Wenn dann die 100-Tage-Grenze erreicht ist, läuft die PKI-Automatisierung bereits produktiv. Wer bis 2027 wartet, muss die gesamte Transformation in einen einzigen Budgetzyklus pressen – mit fatalen Risiken: wie überhasteter Beschaffung, erhöhtem Ausfallrisiko und Bindung von Ressourcen, die auch an anderer Stelle dringend benötigt werden.

Ziel sollte deshalb die Automatisierung der PKI vor Beginn des Jahres 2027 sein. Sobald sich die Lebensdauer auf Quartale oder gar Monate reduziert, wird sich das Management der PKI ohnehin nicht mehr über manuelle Listen realisieren lassen.