Heroku warnt vor drastischer Verkürzung von Sicherheitszertifikaten

Die Ära der jährlichen SSL-Zertifikate endet abrupt – und zwingt Unternehmen weltweit zur sofortigen Automatisierung ihrer Sicherheitsprozesse. Auslöser ist eine verbindliche Industrieregelung, die am 15. März in Kraft tritt und die maximale Gültigkeitsdauer von TLS-Zertifikaten von aktuell 398 auf nur noch 200 Tage halbiert. Die Cloud-Plattform Heroku hat ihre Nutzer am 6. März mit einer dringenden Handlungsaufforderung alarmiert.

Während neue Regulierungen die IT-Abteilungen vor operative Herausforderungen stellen, bleibt die allgemeine Bedrohungslage für Unternehmen kritisch. Dieser kostenlose Leitfaden zeigt, wie Sie Ihre IT-Sicherheit mit einfachen Maßnahmen proaktiv stärken. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Dieser Schritt ist nur der jüngste in einer rasanten Abfolge von Sicherheitsupdates. Bereits am 3. März verschärfte die Zertifizierungsstelle DigiCert ihre Validierungsregeln, während Let's Encrypt einen noch radikaleren Fahrplan für 45-Tage-Zertifikate vorlegt. Für IT-Abteilungen bedeutet das: Manuelles Management wird unmöglich. Wer nicht automatisiert, riskiert den Ausfall seiner Webseiten und Dienste.

Heroku drängt Kunden zur sofortigen Automatisierung

In einer offiziellen Mitteilung bereitet Heroku seine Nutzer auf die Auswirkungen der neuen CA/Browser Forum-Vorgabe (Ballot SC-081v3) vor. Ab dem 15. März 2026 dürfen neu ausgestellte, öffentlich vertrauenswürdige TLS-Zertifikate maximal noch 200 Tage gültig sein.

Für Unternehmen, die ihre Zertifikate manuell verwalten, verdoppelt sich der administrative Aufwand schlagartig. Statt einmal jährlich müssen sie nun mindestens alle sechseinhalb Monate erneuern. Heroku empfiehlt dringend die Migration zum hauseigenen Automated Certificate Management. Dieses System übernimmt die Bereitstellung und Erneuerung von Zertifikaten für eigene Domains vollautomatisch.

„Zertifikate, die vor dem Stichtag ausgestellt wurden, behalten ihre ursprüngliche Laufzeit“, erklärt Heroku. Doch alle Verlängerungen oder Neuausstellungen nach dem 15. März unterliegen strikt dem neuen 200-Tage-Limit. Branchenbeobachter deuten die proaktive Warnung als Indiz für die allgemeine Sorge von Cloud-Anbietern um die Vorbereitung ihrer Kunden.

DigiCert verschärft DNSSEC-Validierung drastisch

Der Druck auf IT-Administratoren wächst weiter durch eine strenge Politikänderung bei DigiCert. Seit dem 3. März validiert die Zertifizierungsstelle Domain Name System Security Extensions (DNSSEC) verbindlich während der Domain-Verifikation.

Die Nutzung von DNSSEC ist zwar nicht verpflichtend für ein Zertifikat. Doch wenn eine Domain damit konfiguriert ist, muss die Konfiguration nun fehlerfrei sein. Die Resolver von DigiCert prüfen die kryptografischen Signaturen der Domain-Einträge. Scheitert diese Validierung – etwa durch falsche Konfigurationen oder fehlende Signaturen – wird die Ausstellung des Zertifikats blockiert.

Diese Regel gilt für ein breites Spektrum an Produkten, darunter öffentliche TLS- und Extended Validation-Zertifikate. Aus einer passiven Sicherheitsoption wird so ein aktiver „Türsteher“. Unternehmen müssen die Gesundheit ihres Domain-Name-Systems nun rigoros überprüfen, denn ein einziger fehlerhafter Eintrag kann die Ausstellung lebenswichtiger Sicherheitszertifikate verhindern.

Let's Encrypt prescht mit 45-Tage-Zertifikaten vor

Während sich die Branche auf 200 Tage einstellt, geht Let's Encrypt einen großen Schritt weiter. Die automatisierte Zertifizierungsstelle hat einen Fahrplan veröffentlicht, der direkt zu 45-Tage-Zertifikaten führt – und damit die Zwischenschritte des CA/Browser Forums überspringt.

Ab dem 13. Mai 2026 wird ein optionales Server-Profil 45-Tage-Zertifikate für Early Adopter ausstellen. Bis Februar 2027 sinkt die Standardlaufzeit dann auf 64 Tage, bevor im Februar 2028 für alle Nutzer das 45-Tage-Limit verbindlich wird.

Die rasanten Änderungen bei Sicherheitsstandards und neue KI-Gesetze nehmen Geschäftsführer zunehmend in die Pflicht. Erfahren Sie im aktuellen Experten-Report, wie sich mittelständische Unternehmen effektiv gegen Cyberrisiken wappnen. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Noch disruptiver ist die geplante Kürzung der Autorisierungs-Wiederverwendungsdauer. Bisher bleibt eine einmal bestätigte Domain-Kontrolle 30 Tage gültig. Künftig schrumpft dieses Fenster auf nur sieben Stunden. Jede Zertifikatsanforderung erfordert dann einen frischen Nachweis der Domain-Inhaberschaft – was manuelle Prozesse de facto ausschließt.

Analyse: Das Ende manueller Verwaltung ist besiegelt

Das Zusammentreffen der Heroku-Warnung, der DigiCert-Verschärfung und des aggressiven Let's-Encrypt-Fahrplans markiert einen dauerhaften Paradigmenwechsel. Das erklärte Ziel des CA/Browser Forums ist es, die Laufzeiten bis März 2029 auf nur noch 47 Tage zu reduzieren.

Hintergrund ist die IT-Sicherheit: Kürzere Laufzeiten begrenzen den Schadensradius kompromittierter privater Schlüssel. Erlischt ein Zertifikat schnell, verringert sich das Risiko, dass Angreifer es missbrauchen können. Traditionelle, oft ineffiziente Widerrufsmechanismen verlieren an Bedeutung.

Der Preis für mehr Sicherheit ist jedoch hoch. Unternehmen ohne ausgereifte Automatisierung stehen vor enormen operativen Herausforderungen. Der Betrieb Tausender Webanwendungen, Edge-Geräte und Rechenzentrumskomponenten lässt sich nicht länger mit Excel-Listen und Kalendererinnerungen managen. Die Public Key Infrastructure wandelt sich von einer statischen Konfigurationsaufgabe zu einem dynamisch verwalteten, kontinuierlichen Prozess.

Ausblick: Automatisierung wird zur Überlebensfrage

Das Tempo der Veränderungen wird sich weiter beschleunigen. Nach der Halbierung auf 200 Tage im März 2026 folgt im März 2027 die Reduktion auf 100 Tage, ehe 2029 das 47-Tage-Ziel erreicht wird.

Unternehmen müssen jetzt handeln: Sie benötigen eine Bestandsaufnahme aller vorhandenen Zertifikate und eine Überprüfung ihrer Automatisierungsfähigkeiten. Die Aktualisierung von Client-Software für kontinuierliche Erneuerungsprotokolle und ein einwandfreies Domain-Name-System werden zur Grundvoraussetzung für eine funktionierende Online-Präsenz.

Die nächsten zwölf Monate werden zum Stresstest für die Internet-Infrastruktur. Experten rechnen mit temporären Dienstausfällen bei allen Organisationen, die ihre Sicherheitsprotokolle nicht rechtzeitig automatisieren.