Die Sicherheit im Internet steht vor einem radikalen Wandel. Wenn Sie eine Website oder eine Unternehmensinfrastruktur betreiben, ist das Thema SSL für Sie kein Unbekannter. Doch was im Jahr 2026 auf Administratoren und IT-Leiter zukommt, markiert das Ende der „Set-and-Forget“-Ära. Let’s Encrypt, der weltweit führende Anbieter kostenloser Zertifikate, hat einschneidende Änderungen angekündigt, die weit über kosmetische Korrekturen hinausgehen.
Ab 2026 wird die maximale Gültigkeitsdauer von Zertifikaten drastisch reduziert, und bewährte Funktionen wie die TLS-Client-Authentifizierung werden eingestellt. In diesem Artikel analysieren wir, warum diese Schritte notwendig sind, welche technischen Hürden auf Sie warten und wie Sie Ihre Systeme rechtzeitig auf die neuen Standards vorbereiten.
1. Von 90 auf 45 Tage: Die neue Zertifikatslaufzeit
Die wohl folgenreichste Nachricht für alle Webmaster: Let’s Encrypt plant, die standardmäßige Gültigkeit seiner Zertifikate von derzeit 90 Tagen auf lediglich 45 Tage zu halbieren.
Warum wird die Laufzeit verkürzt?
Die Reduzierung der Zertifikatslaufzeit ist kein Alleingang von Let’s Encrypt. Es ist eine Reaktion auf die allgemeine Bewegung in der CA/Browser-Community (wie Google und Apple), die Sicherheit durch Agilität erhöhen will. Kürzere Laufzeiten minimieren das Zeitfenster, in dem ein kompromittierter privater Schlüssel missbraucht werden kann. Zudem wird die Sperrung von Zertifikaten (Revocation) durch den schnellen natürlichen Ablauf nahezu obsolet.
Die Auswirkungen auf Ihre IT-Infrastruktur
Wer bisher seine SSL-Zertifikate noch manuell erneuert, wird spätestens 2026 scheitern. Ein Intervall von 45 Tagen (mit einer empfohlenen Erneuerung nach 30 Tagen) lässt keinen Spielraum für menschliche Fehler oder Urlaubszeiten. Die Automatisierung via ACME-Protokoll wird damit zur absoluten Pflicht für jede HTTPS-Verschlüsselung.
2. Das Ende der TLS-Client-Authentifizierung
Eine weitere wichtige Ankündigung betrifft die TLS-Client-Authentifizierung. Let’s Encrypt hat offiziell bekannt gegeben, dass die Unterstützung für diesen spezifischen Anwendungsfall eingestellt wird.
Was bedeutet das konkret?
Bisher konnten Zertifikate von Let’s Encrypt in begrenztem Maße auch dazu genutzt werden, nicht nur den Server gegenüber dem Client (Webseite), sondern auch den Client gegenüber dem Server zu identifizieren. Da Let’s Encrypt jedoch auf die Absicherung von Web-Infrastrukturen spezialisiert ist und die Validierungsmethoden für Clients komplexer und fehleranfälliger sind, zieht sich der Anbieter aus diesem Bereich zurück.
Wichtig für Sie: Wenn Sie Let’s Encrypt Zertifikate für die Identifizierung von Benutzern oder Geräten in geschlossenen Systemen nutzen, müssen Sie bis 2026 auf alternative Lösungen wie eine eigene Private PKI (Public Key Infrastructure) oder spezialisierte Identitätsdienste umsteigen.
3. Die Vision: Automatisierung als Standard
Wie bereits in unserem vorherigen Artikel zur Verkürzung der SSL-Gültigkeit erläutert, ist der Trend zur Kurzlebigkeit unumkehrbar. Let’s Encrypt verfolgt hierbei das Ziel einer „Agile PKI“.
Vorteile der erzwungenen Automatisierung
- Fehlerreduktion: Einmal korrekt konfiguriert, laufen Erneuerungsprozesse geräuschlos im Hintergrund.
- Schnellere Reaktion auf Krypto-Agilität: Wenn ein Algorithmus (wie RSA) durch Quantencomputing oder neue Schwachstellen unsicher wird, können neue Standards innerhalb von Wochen global ausgerollt werden.
- Sicherheitsniveau: Ein gestohlenes Zertifikat verliert nach maximal 45 Tagen seinen Wert.
4. Technische Vorbereitung auf das Jahr 2026
Um den Übergang zu meistern, sollten Sie Ihre TLS-Zertifikate und deren Management-Tools einer Prüfung unterziehen. Hier ist eine Checkliste für Ihre IT-Abteilung:
Überprüfung der ACME-Clients
Stellen Sie sicher, dass Ihre verwendeten Clients (wie Certbot, acme.sh oder integrierte Lösungen in Firewalls wie OPNsense/pfSense) auf dem neuesten Stand sind. Viele ältere Implementationen gehen fest von 90 Tagen aus – diese Logik muss flexibel anpassbar sein.
Monitoring und Alerting
Auch die beste Automatisierung kann fehlen. Implementieren Sie ein externes Monitoring, das Sie warnt, wenn ein Zertifikat weniger als 10 Tage Restlaufzeit hat. Bei einem 45-Tage-Rhythmus ist die Reaktionszeit kürzer als früher.
Abschied von manuellen Prozessen
Besitzen Sie noch Legacy-Systeme, die keine automatische Erneuerung unterstützen? 2026 ist das Jahr, in dem diese Systeme entweder ersetzt oder hinter einen Reverse-Proxy (wie Nginx oder Traefik) gestellt werden müssen, der das SSL-Handling übernimmt.
5. Warum Google und andere Browser Druck ausüben
Die Änderungen bei Let’s Encrypt stehen im Einklang mit Googles „Moving Forward Together“-Initiative. Google hat bereits vorgeschlagen, die maximale Gültigkeitsdauer für alle öffentlich vertrauten SSL-Zertifikate im Chrome-Browser auf 90 Tage zu begrenzen.
Indem Let’s Encrypt nun proaktiv auf 45 Tage geht, positionieren sie sich als Vorreiter. Es ist davon auszugehen, dass andere Zertifizierungsstellen (CAs) diesem Beispiel folgen müssen, um weiterhin in den Root-Stores der Browser gelistet zu bleiben. Für Sie als Nutzer bedeutet das: Die gesamte Branche bewegt sich weg von statischen Zertifikaten hin zu dynamischen Sicherheits-Tokens.
Fazit: Agilität ist der neue Sicherheitsstandard
Die angekündigten Änderungen von Let’s Encrypt für 2026 sind eine klare Botschaft an die IT-Welt: Wer seine Sicherheitsprozesse nicht automatisiert, wird abgehängt. Die Verkürzung der Zertifikatslaufzeit auf 45 Tage und der Wegfall spezieller Authentifizierungsmethoden zwingen Unternehmen dazu, ihre Infrastruktur moderner und resilienter zu gestalten.