Ich möchte Sie über eine wichtige Änderung informieren, die alle Betreiber von Webservern und möglicherweise Ihre HCL Domino Server betrifft: Die maximalen Laufzeiten von SSL/TLS-Zertifikaten werden schrittweise drastisch verkürzt.
Was passiert?
Das CA/Browser Forum – das Gremium, das die Regeln für öffentlich vertrauenswürdige Zertifikate festlegt – hat im April 2025 mit dem Ballot SC-081v3 eine stufenweise Verkürzung der maximalen Gültigkeitsdauer von SSL/TLS-Zertifikaten beschlossen.
Das Ziel: Die Sicherheit im Internet erhöhen, indem das Zeitfenster für kompromittierte Zertifikate verkleinert und die Automatisierung der Zertifikatsverwaltung gefördert wird.
Der neue Zeitplan im Überblick
Zeitraum | Max. Zertifikatslaufzeit | Max. Domain-Validierung (DCV) |
Bis 14. März 2026 | 398 Tage (wie bisher) | 398 Tage |
Ab 15. März 2026 | 200 Tage | 200 Tage |
Ab 15. März 2027 | 100 Tage | 100 Tage |
Ab 15. März 2029 | 47 Tage | 10 Tage |
Wichtig: Einige Zertifizierungsstellen setzen die Änderungen sogar noch früher um. DigiCert akzeptiert bereits seit dem 24. Februar 2026 keine Zertifikatsanträge mit mehr als 199 Tagen Laufzeit mehr. Sectigo hat die Umstellung zum 12. März 2026 vorgenommen.
Was bedeutet das konkret für Sie?
1. Häufigere Erneuerung erforderlich
Statt wie bisher einmal pro Jahr muss Ihr SSL/TLS-Zertifikat künftig mindestens zweimal pro Jahr erneuert werden – ab 2027 sogar alle drei bis vier Monate und ab 2029 nahezu monatlich.
2. Domain-Validierung wird häufiger nötig
Bei jeder Zertifikatserneuerung muss die Domain-Validierung (DCV) erneut durchgeführt werden. Ab 2029 ist die Wiederverwendung einer bestehenden Validierung nur noch 10 Tage gültig.
3. Automatisierung wird zum Muss
Manuelle Zertifikatsverwaltung wird bei diesen kurzen Laufzeiten zunehmend unpraktikabel. Wer nicht rechtzeitig erneuert, riskiert Ausfälle und Fehlermeldungen für Mitarbeiter und Kunden.
Auswirkungen auf Ihren HCL Domino Server
Für Betreiber von HCL Domino Servern – egal ob für iNotes/Verse, Traveler oder Web-Anwendungen – bedeutet dies:
- Die Schlüsselring-Dateien (keyring.kyr / keyring.sth) müssen deutlich häufiger aktualisiert werden.
- Ein abgelaufenes Zertifikat führt dazu, dass Browser den Zugriff auf Ihren Server blockieren und die HCL Verse App nicht mehr funktioniert.
- Planen Sie die Erneuerungszyklen frühzeitig in Ihren Wartungskalender ein.
Wie ich Sie unterstützen kann
Als offizieller SECTIGO Reseller biete ich Ihnen weiterhin den gewohnten Full-Service:
- Rechtzeitige Erinnerung vor Ablauf Ihres Zertifikats
- Komplette Abwicklung der Zertifikatserneuerung inkl. Erstellung der Schlüsselring-Dateien für Ihren Domino Server
- Beratung zur Automatisierung der Zertifikatsverwaltung, insbesondere mit dem Domino CertStore (certstore.nsf) ab Domino 12
- Überprüfung und Optimierung Ihrer Server-Konfiguration (TLS-Protokolle, Cipher Suites)
Mein Tipp: Wenn Sie noch Domino 9.x oder 10.x einsetzen, ist jetzt ein guter Zeitpunkt, über ein Upgrade auf Domino 12 oder höher nachzudenken. Der dort enthaltene Certificate Manager (certstore.nsf) vereinfacht die Zertifikatsverwaltung erheblich und unterstützt automatische Erneuerungen über das ACME-Protokoll (z.B. mit Let's Encrypt).
Handlungsempfehlung
Prüfen Sie, wann Ihr aktuelles SSL/TLS-Zertifikat abläuft
Planen Sie die nächste Erneuerung entsprechend der neuen 200-Tage-Frist ein
Sprechen Sie mich an, wenn Sie Unterstützung bei der Umstellung oder Automatisierung benötigen
Bei Fragen stehe ich Ihnen jederzeit gerne zur Verfügung.