Let's encrypt31.03.2026

SSL-Zertifikate zu erstellen gehört(e) zu den Standardaufgaben eines Domain-Administrators. Keine spannende, aber eine (bis anhin) jährlich wiederkehrende Aufgabe.

Kürzlich ist mir bei der Erneuerung eines Zertifikates aufgefallen, dass die Gültigkeit weniger als ein Jahr betrug. Nach einigen Abklärungen habe ich herausgefunden, dass das gewünschtes Verhalten ist. Das CA/Browser-Forum hat beschlossen die Laufzeiten schrittweise zu verkürzen.

Wichtige Meilensteine der Laufzeitverkürzung:

- ab 15. März 2026: Maximal 200 Tage

- ab 15. März 2027: Maximal 100 Tage

- ab 15. März 2029: Maximal 47 Tage 

Mit diesen Laufzeiten ist für mich klar, dass der Verlängerungs-Prozess automatisiert werden muss.

Wenn schon automatisieren, dann doch gleich kostenlos.

Bis anhin waren die kurzen Laufzeiten von 90 Tagen von Let’s Encrypt für mich ein Hindernis. Wenn ich aber sowieso automatisieren muss, dann spielt das keine Rolle mehr und ich wechsle gleich auf die kostenlosen Zertifikate.

Automatisieren, aber wie?

acme (Automatic Certificate Management Environment) heisst das Zauberwort. Acme ist ein Protokoll zur automatischen Prüfung der Inhaberschaft einer Internet-Domain und dient der vereinfachten Ausstellung von digitalen Zertifikaten für TLS-Verschlüsselung. Für Windows-Server mit IIS steht mit win-acme (https://www.win-acme.com/) eine einfach zu bedienende, aber trotzdem sehr komfortable Software zur Verfügung. Zwar wirkt das Commandline-Interface etwas spartanisch, die Funktionalität dahinter ist aber top. Nebstdem der Client direkt das Zertifikat anfordert, sorgt er für Verifizierung, trägt automatisch die Bindings ein und “last but not least” erstellt er einen Job, welcher automatisch das Zertifikat erneuert. Was will man mehr?

Wie funktioniert das ?

Im einfachsten Fall (ohne Wildcard-Zertifikate) verwendet der Client die HTTP-01-Challenge. Dabei wird eine Datei temporär auf dem Webserver platziert und deren Inhalt bei der Verifizierung verglichen. Soll ein Wildcard-Zertifikat erstellt werden, kommt die DNS-01-Challenge zum Einsatz (anlegen eines TXT-Eintrags im DNS). Auch hier nichts Neues. Was wir jahrelang manuell gemacht haben, automatisiert der Client.

Certification-Requests, ade – aber automatischer Client hin oder her, es ist trotzdem gut, wenn man weiss, was im Hintergrund passiert.