Das SSL-Paradox: Warum fast niemand 15-Jahres-Zertifikate nutzt

Wer Domains und Webhosting betreut, kennt das Ritual: Alle 90 Tage muss ein SSL-Zertifikat erneuert werden. Das gehört inzwischen zum Standardablauf.

Dabei gibt es längst die Möglichkeit, Zertifikate mit einer Gültigkeit von 15 Jahren auszustellen. Die Technik ist verfügbar, die Infrastruktur steht. Trotzdem bleibt die kurze Lebensdauer der Normalfall. Warum?

Die lange Option existiert wirklich

Einige Zertifizierungsstellen bieten inzwischen 15-Jahres-Zertifikate an – vor allem im Cloudflare-Umfeld für Origin Certificates. Diese Zertifikate sind nicht nur theoretisch nutzbar, sondern liegen konkret im Dashboard bereit.

Dennoch setzen die meisten Betreiber weiter auf 90-Tage-Zyklen.

Warum kurze Zertifikate zum Standard wurden

Die CA/B-Forum hat schon 2020 die alten 2- und 3-Jahres-Zertifikate abgeschafft. Der Grund: Sicherheit. Ein kompromittierter Private Key bleibt bei langen Laufzeiten über Jahre gültig. Kurze Zertifikate begrenzen das Risiko.

Dazu kommt der praktische Vorteil: Häufigere Rotationen zwingen Teams, Schlüssel regelmäßig zu erneuern. Das ist bei modernen Systemen einfacher zu handhaben als über anderthalb Jahrzehnte.

Und schließlich hat Let's Encrypt den Markt verändert. Kostenlose, automatisierte Zertifikate haben den wirtschaftlichen Vorteil langer Laufzeiten weitgehend beseitigt.

Automatisierung ist der eigentliche Knackpunkt

Ein 15-Jahres-Zertifikat klingt nur dann attraktiv, wenn man Zertifikate noch manuell verwaltet. Wer seine Infrastruktur aber ohnehin automatisiert, braucht lange Laufzeiten nicht mehr.

Moderne DevOps-Umgebungen behandeln SSL-Zertifikate wie jede andere Ressource: Sie werden automatisch bereitgestellt, überwacht und ausgetauscht. Der 90-Tage-Rhythmus hilft dabei, diese Disziplin aufrechtzuerhalten.

Automatische Auswahl – aber mit Kontrollverlust

Manche Plattformen wählen inzwischen automatisch zwischen verschiedenen Validierungsmethoden. Theoretisch könnte das auch 15-Jahres-Zertifikate „unsichtbar“ machen.

Praktisch fehlt dann aber die Übersicht. Entwickler wollen wissen, wann Zertifikate rotieren – als Prüfpunkt für die Automatisierung. Ein 15-Jahres-Fenster ohne Eingriff schafft blinde Flecken.

Wann lange Zertifikate trotzdem sinnvoll sind

Es gibt durchaus Szenarien, in denen 15-Jahres-Zertifikate Vorteile bringen:

• Interne Dienste hinter Cloudflare, die nicht öffentlich erreichbar sind
• Entwicklungs- und Staging-Umgebungen
• IoT-Geräte mit eingeschränkten Update-Möglichkeiten
• Backup-Zertifikate für Notfälle

Der Betrieb bleibt der gleiche

Auch mit langen Zertifikaten müssen Monitoring, Alerting und CI/CD-Pipelines weiterhin auf Rotation ausgelegt sein. Die Infrastruktur muss Zertifikate auch dann austauschen können, wenn sie eigentlich noch Jahre gültig wären.

Lange Zertifikate verschieben das Problem nur – sie lösen es nicht.

Was das für Teams bedeutet

Statt nach längeren Zertifikaten zu suchen, lohnt es sich, die Automatisierung zu stärken:

• Erneuerung komplett unsichtbar machen
• Ablaufzeiten frühzeitig erkennen
• Notfallprozesse regelmäßig testen
• Dokumentation aktuell halten

Ein 15-Jahres-Zertifikat bringt keine Ruhe. Gute Automatisierung schon.

Cloudflare als Sonderfall

Betreiber mit Cloudflare davor haben die Option auf längere Origin Certificates. Das kann bei bestimmten Anwendungsfällen praktisch sein – für produktive Systeme ist es aber selten die bessere Wahl.

Fazit

Das Paradox zeigt vor allem eines: Die Branche hat sich bewusst für kurze Zertifikate entschieden, weil sie bessere Betriebsabläufe erzwingen. Die 90-Tage-Regel ist kein Hindernis, sondern ein Feature.

Wer Zertifikatsmanagement vereinfachen will, sollte auf Automatisierung setzen – nicht auf längere Laufzeiten.