Zertifikatslebenszyklus
Zertifikate sind digitale „Ausweise“.
Wie ein echter Personalausweis oder Führerschein sind sie nicht ewig gültig und müssen regelmäßig überprüft oder erneuert werden.
Diese zeitliche Begrenzung ist kein Nachteil – sie ist ein zentraler Sicherheitsmechanismus.
Warum Zertifikate überhaupt einen Lebenszyklus haben
Ein Zertifikat beweist eine Identität – z. B. dass ein Server wirklich zu einer bestimmten Domain gehört oder dass eine E-Mail von einem bestimmten Absender stammt.
Damit dieser Nachweis verlässlich bleibt, müssen wir sicherstellen:
Vertrauen verändert sich über die Zeit
Unternehmen, Domains oder Personen können sich ändern.
Beispiel: Ein Zertifikat gehört zufirma-alt.de, aber die Firma wird verkauft oder umbenannt.
→ Das alte Zertifikat darf dann nicht mehr gültig sein.
Schlüssel können kompromittiert werden
Wenn ein privater Schlüssel gestohlen oder versehentlich veröffentlicht wird,
muss das Zertifikat sofort gesperrt werden – sonst könnten Angreifer es missbrauchen.
Kryptografische Verfahren altern
Algorithmen, die heute sicher sind (z. B. RSA 2048 bit), gelten in ein paar Jahren vielleicht als schwach.
→ Zertifikate mit neuen Schlüsseln sorgen dafür, dass aktuelle Standards eingehalten werden.
Kontrolle durch die CA
Die Zertifizierungsstelle (CA) muss regelmäßig prüfen, ob der Antragsteller noch existiert und ob die Daten korrekt sind.
→ Das geschieht bei jeder Erneuerung.
So läuft der Lebenszyklus ab
Ausstellung
Eine CA überprüft den Antragsteller (Domain, Organisation etc.)
Danach wird das Zertifikat signiert und ausgegeben.
Beispiel:
Let's Encryptstellt Zertifikate automatisch für 90 Tage aus.
Gültigkeitszeitraum
Das Zertifikat darf in dieser Zeit genutzt werden.
Browser und Server prüfen bei jeder Verbindung, ob das Datum innerhalb der Gültigkeit liegt.
Beispiel:
Not valid before: 2025-01-01/Not valid after: 2025-03-31.
Erneuerung
Bevor ein Zertifikat abläuft, sollte automatisch oder manuell ein neues ausgestellt werden.
Wichtig: Der private Schlüssel kann beibehalten oder neu erzeugt werden.
Bei
Let's Encrypterfolgt das automatisch übercertbot renew.
Ablauf
Nach dem Ablaufdatum ist das Zertifikat nicht mehr vertrauenswürdig.
Browser zeigen Warnungen wie „Verbindung nicht sicher“ an.
Alte Zertifikate müssen dann durch neue ersetzt werden.
Sperrung (Revocation)
Wenn ein Zertifikat vor Ablauf kompromittiert wurde (z. B. Server-Hack, gestohlener Schlüssel),
wird es sofort widerrufen.Die CA trägt es in eine Certificate Revocation List (CRL) ein oder markiert es per OCSP als ungültig.
Clients (z. B. Browser) fragen regelmäßig diese Informationen ab.
Praktischer Bezug für Administratoren
Ein Admin muss wissen:
Wann ein Zertifikat abläuft (z. B. durch Monitoring oder Automatisierung).
Wie man ein Zertifikat erneuert oder ersetzt, ohne dass Dienste ausfallen.
Wo abgelaufene Zertifikate Warnungen oder Fehler verursachen (Web, VPN, Mail).
Wie man Sperrungen erkennt und darauf reagiert.
Beispiel in der Praxis:
# Ablaufdatum prüfen
openssl x509 -in /etc/ssl/certs/server.crt -noout -enddate
# Ausgabe: notAfter=Mar 15 12:00:00 2026 GMT
→ Dieses Zertifikat läuft am 15. März 2026 ab.
Ein Monitoring-Tool sollte dich spätestens 30 Tage vorher warnen.
Vergleich aus dem Alltag
Man kann sich den Lebenszyklus eines Zertifikats vorstellen wie den eines Personalausweises:
Du beantragst ihn bei einer Behörde (CA).
Er ist nur eine bestimmte Zeit gültig.
Wenn du ihn verlierst oder jemand ihn kopiert, wird er ungültig erklärt.
Du musst ihn regelmäßig verlängern.