Let's Encrypt führt „IP-Adress-Zertifikate" und „kurzlebige (ca. 6 Tage / 160 Stunden) Zertifikate" allgemein ein! Was ändert sich?

Am 15. Januar 2026 gab es wichtige Neuigkeiten zur Internet-Sicherheit. Der Dienst „Let's Encrypt", der kostenlose SSL-Zertifikate ausstellt, hat offiziell zwei neue Funktionen eingeführt.

„Zertifikat? Was ist das?", „IP-Adresse? Habe ich schon mal gehört, aber..." - so geht es sicher vielen. In diesem Artikel erklären wir leicht verständlich, was diese Neuigkeiten bedeuten und warum sie so bedeutend sind.

Was ist eigentlich ein „SSL-Zertifikat"?

Fangen wir mit den Grundlagen an.

Wenn Sie eine Website besuchen, sehen Sie in der Adressleiste Ihres Browsers oft ein „https://" oder ein Schloss-Symbol. Das ist das Zeichen dafür, dass „diese Seite sicher kommunizieren kann".

Um diese sichere Kommunikation zu ermöglichen, wird ein „SSL-Zertifikat" (genauer gesagt ein TLS-Zertifikat) benötigt.

Ein Vergleich mit einem Ausweis

Ein SSL-Zertifikat ist wie ein „Ausweis" für eine Website.

Wenn Sie zum Beispiel ein Bürogebäude betreten, zeigen Sie Ihren Mitarbeiterausweis vor, um zu bestätigen: „Ich bin wirklich ein Mitarbeiter dieser Firma" (in der Realität nutzen Sie wahrscheinlich eher eine Chipkarte, aber das Prinzip ist dasselbe). Genauso nutzt eine Website ein SSL-Zertifikat, um zu beweisen: „Ich bin das echte 〇〇.com".

Ohne dieses Zertifikat könnten böswillige Akteure behaupten: „Dies ist die echte Website Ihrer Bank", und so Ihre Passwörter stehlen. Eine beängstigende Vorstellung, oder?

Was ist Let's Encrypt?

Let's Encrypt ist ein Dienst, der SSL-Zertifikate kostenlos ausstellt.

Früher kostete es Geld, ein SSL-Zertifikat zu erhalten - oft mehrere tausend bis zehntausend Yen pro Jahr. Deshalb konnten viele private Blogs oder Websites kleiner Unternehmen kein „https" anbieten.

Dank Let's Encrypt kann heute jeder kostenlos ein SSL-Zertifikat erhalten, weshalb mittlerweile fast alle Websites im Internet „https" unterstützen.

Neue Funktion Nr. 1: „Kurzzeit-Zertifikate" für ca. 6 Tage

Kommen wir nun zum Kern der aktuellen Neuigkeiten.

Bisherige Zertifikate waren 90 Tage gültig

Bisher waren Zertifikate von Let's Encrypt nach der Ausstellung 90 Tage lang gültig. Nach Ablauf dieser 90 Tage wurden sie ungültig, weshalb rechtzeitig ein neues Zertifikat angefordert werden musste.

Die neuen Zertifikate gelten nur ca. 6 Tage

Die neue Option bietet Kurzzeit-Zertifikate mit einer Gültigkeitsdauer von nur 160 Stunden (etwas mehr als 6 Tage). Vielleicht denken Sie jetzt: „Was, so kurz? Das klingt nach viel Arbeit..."

Tatsächlich liegt genau in dieser Kürze ein großer Vorteil.

Warum ist eine kürzere Dauer besser?

Zertifikate stehen in Verbindung mit wichtigen Daten, dem sogenannten „privaten Schlüssel" (Private Key). Dieser ist wie ein Passwort - wenn er anderen bekannt wird, ist das ein großes Problem.

Was passiert, wenn ein privater Schlüssel gestohlen wird?

• Bei einem 90 Tage gültigen Zertifikat: Es könnte im schlimmsten Fall 90 Tage lang missbraucht werden.
• Bei einem ca. 6 Tage (160 Stunden) gültigen Zertifikat: Es wird im schlimmsten Fall nach etwa 6 Tagen unbrauchbar.

Das bedeutet: Je kürzer die Gültigkeitsdauer eines Zertifikats ist, desto geringer ist der potenzielle Schaden im Ernstfall.

Das Problem mit dem „Widerruf", der oft nicht funktioniert

Man könnte meinen: „Aber wenn ein Schlüssel gestohlen wird, kann man das Zertifikat doch einfach für ungültig erklären, oder?"

Tatsächlich gibt es einen Mechanismus namens „Widerruf" (Revocation). Damit wird erklärt: „Dieses Zertifikat darf nicht mehr verwendet werden."

In der Realität funktioniert dieser Widerrufsmechanismus jedoch oft nicht gut. Die Hauptgründe dafür sind:

• Probleme mit CRL (Certificate Revocation Lists): Dies ist ein System zur Verteilung von Listen widerrufener Zertifikate. Wenn die Listen sehr groß werden, dauert der Download zu lange, und Browser überspringen die Prüfung manchmal.
• Das „Soft-Fail"-Problem bei OCSP: OCSP (Online Certificate Status Protocol) ist ein System zur Echtzeit-Prüfung der Gültigkeit. Viele Browser setzen die Verbindung jedoch fort, auch wenn der Prüfserver nicht erreichbar ist, anstatt eine Fehlermeldung auszugeben (dies nennt man „Soft-Fail").
• Datenschutzbedenken: Bei der Nutzung von OCSP erfährt der Prüfserver, welche Websites ein Nutzer besucht. Aus Datenschutzgründen verzichten einige Browser daher auf eine aktive Prüfung.

Aus diesen Gründen ist die Widerrufsprüfung in der Praxis oft unzuverlässig.

Genau deshalb ist es effektiv, die Gültigkeitsdauer von vornherein kurz zu halten. Da das Zertifikat nach 6 Tagen automatisch abläuft, bleibt die Sicherheit gewahrt, ohne dass man sich auf den Widerrufsmechanismus verlassen muss.

Neue Funktion Nr. 2: Zertifikate für IP-Adressen

Die zweite neue Funktion sind „Zertifikate für IP-Adressen".

Der Unterschied zwischen Domainnamen und IP-Adressen

Websites haben zwei Arten von „Adressen": den Domainnamen und die IP-Adresse.

• Domainname: Ein für Menschen lesbarer Name wie www.example.com.
• IP-Adresse: Eine numerische Adresse eines Computers, wie 192.168.1.1.

Normalerweise nutzen Sie Domainnamen. Intern kommunizieren Computer jedoch über IP-Adressen miteinander.

Bisher war ein Domainname erforderlich

Bisher konnte Let's Encrypt nur Zertifikate für Domainnamen ausstellen.

Man konnte zwar ein Zertifikat erstellen, das besagt: „www.example.com ist eine sichere Seite", aber nicht eines für: „192.168.1.1 ist ein sicherer Server".

Sichere Kommunikation allein über die IP-Adresse

Mit dem aktuellen Update ist es nun möglich, Zertifikate auch für IP-Adressen auszustellen.

Dadurch kann eine sichere, verschlüsselte Kommunikation allein über die IP-Adresse erfolgen, auch wenn man keinen Domainnamen besitzt.

Wann ist das nützlich?

Zertifikate für IP-Adressen können auf Servern verwendet werden, die über eine aus dem Internet erreichbare öffentliche IP-Adresse verfügen. Dies liegt daran, dass Let's Encrypt bei der Ausstellung des Zertifikats prüfen muss, ob es eine Verbindung zu dieser IP-Adresse herstellen und den Server kontrollieren kann.

Für die Validierung der IP-Adresse werden die Methoden HTTP-01 oder TLS-ALPN-01 verwendet (die bei Domainnamen mögliche Methode DNS-01 kann hier nicht genutzt werden).

Konkret ist dies in folgenden Situationen hilfreich:

• Öffentliche Server ohne Domain: Zum Beispiel temporäre Test-VMs oder Dienste, die nur für kurze Zeit online sind.
• Heimserver (Home-Labs): Wenn eine Umgebung, auf die direkt über eine öffentliche IP zugegriffen wird, per HTTPS abgesichert werden soll.
• Geräte, die nur kurzzeitig im Internet sichtbar sind: Aktions-Websites für einen begrenzten Zeitraum oder Testveröffentlichungen.

Es ist oft mühsam, extra einen Domainnamen einzurichten, nur um einen kurzen Test durchzuführen. Dass man nun ein Zertifikat erhalten kann, solange man eine öffentliche IP-Adresse hat, ist für Entwickler sehr praktisch.

Hinweis: In geschlossenen Firmennetzwerken mit privaten IP-Adressen (wie 192.168.x.x oder 10.x.x.x) können diese Zertifikate nicht verwendet werden, da Let's Encrypt keine Verbindungsprüfung durchführen kann.

IP-Zertifikate sind immer Kurzzeit-Zertifikate

Übrigens werden Zertifikate für IP-Adressen immer als Kurzzeit-Zertifikate mit 160 Stunden (ca. 6 Tage) Gültigkeit ausgestellt. Das liegt daran, dass sich die Zuweisung oder der Nutzer einer IP-Adresse im Gegensatz zu Domainnamen häufiger ändern kann. Durch die häufigere Überprüfung der Kontrolle wird die Sicherheit gewährleistet.

Was sind die Vorteile dieses Updates?

Fassen wir die Vorteile dieses Updates noch einmal zusammen:

Vorteil 1: Noch stärkere Sicherheit

Durch die Nutzung der 6-Tage-Zertifikate wird der Schaden minimiert, falls ein privater Schlüssel gestohlen wird. Das langjährige Problem, dass der „Widerruf nicht gut funktioniert", wird so auf einfache Weise gelöst.

Vorteil 2: Sichere Kommunikation auch ohne Domainnamen

Dank der Zertifikate für IP-Adressen können nun auch Server ohne Domainnamen offiziell anerkannte Zertifikate nutzen. Das erleichtert die Entwicklung und das Testen erheblich.

Vorteil 3: Alles kostenlos

Diese neuen Funktionen sind wie gewohnt völlig kostenlos. Es ist sehr erfreulich, dass man modernste Sicherheitstechnik ohne zusätzliche Kosten nutzen kann.

Vorteil 4: Mehr Auswahlmöglichkeiten

Die herkömmlichen 90-Tage-Zertifikate können weiterhin genutzt werden. Wer Kurzzeit-Zertifikate nutzen möchte, kann diese über das ACME-Protokoll mit dem Profil shortlived anfordern.

Wichtiger Hinweis: Aufgrund der kurzen Gültigkeitsdauer von 160 Stunden ist im Produktivbetrieb die automatische Erneuerung durch einen ACME-Client wie Certbot Voraussetzung. Ein ACME-Client ist ein Tool, das Zertifikate automatisch von Zertifizierungsstellen wie Let's Encrypt bezieht und erneuert (ACME steht für „Automatic Certificate Management Environment"). In Umgebungen, in denen bereits eine automatische Erneuerung implementiert ist, sollte der Wechsel auf Kurzzeit-Zertifikate reibungslos verlaufen.

Zudem muss der ACME-Client die neuen Funktionen unterstützen, um Kurzzeit- oder IP-Zertifikate nutzen zu können. Ein Update auf die neueste Version vor der Nutzung wird empfohlen.

Let's Encrypt hat zudem angekündigt, die Standard-Gültigkeitsdauer bis 2028 von 90 auf 45 Tage zu verkürzen. Der Trend geht also generell zu immer kürzeren Laufzeiten, um die Sicherheit im Internet zu erhöhen.

Zusammenfassung

Wir haben die neuen Funktionen von Let's Encrypt - die „6-Tage-Kurzzeit-Zertifikate" und die „Zertifikate für IP-Adressen" - erläutert.

Hier sind die wichtigsten Punkte:

• SSL-Zertifikate sind wie ein „Ausweis" für Websites.
• Let's Encrypt ist ein Dienst, der Zertifikate kostenlos ausstellt.
• 6-Tage-Zertifikate minimieren durch ihre kurze Laufzeit den Schaden im Ernstfall.
• IP-Zertifikate ermöglichen sichere Kommunikation auch ohne Domainnamen.
• Beide neuen Funktionen sind kostenlos nutzbar.

Die Bemühungen, das Internet sicherer zu machen, entwickeln sich ständig weiter. Wenn Sie das nächste Mal das Schloss-Symbol in Ihrem Browser sehen, denken Sie vielleicht kurz daran: „Ah, da verrichtet gerade ein Zertifikat seine Arbeit."

Referenz-Links

• Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt
• 6-day and IP Address Certificates are Generally Available - Let's Encrypt
• We've Issued Our First IP Address Certificate - Let's Encrypt
• Decreasing Certificate Lifetimes to 45 Days - Let's Encrypt
• Let's Encrypt Launches IP Address Certificates With 6-Day Lifetimes - Linuxiac