NextPKI
Pilot-Programm offen

Jedes Zertifikat finden.
Vor Ablauf erneuern.
Endlich wieder schlafen.

CA-agnostisch Discovery-first Open-Source-Sensor

NextPKI führt jedes Zertifikat, das dir gehört, in einem Inventar zusammen. Vom Sensor entdeckt, aus deinen Cloud-Accounts und CAs gezogen, aus Spreadsheets importiert, dedupliziert und mit einem einzigen Erneuerungs-Workflow versehen. Kein CA-Lock-in. Keine blinden Flecken. Keine 03:00-Uhr-Pages.

Pilot anfragen So funktioniert Discovery
Quellen
5+
Sensor · CT-Logs · Cloud · CAs · Import
Unterstützte CAs
6
DigiCert · Sectigo · GlobalSign · LE · ZeroSSL · SwissSign
Datenstandort
Nur EU
DSGVO-nativ, Subprozessoren-Liste offen
Sensor
Open Source, Rust
AGPL-3.0. Audit vor dem Einsatz im Netz.
Single Source of Truth

Fünf Orte führen deine Zertifikate heute.
NextPKI macht daraus einen.

Zertifikate liegen in deinen AWS-Accounts, in deinen Sectigo- und DigiCert-Portalen, auf den Laptops, auf denen letztes Jahr certbot lief, in einer Tabelle, die niemand pflegt, und in den CT-Logs, in die du nie geschaut hast. Wir ziehen alles zusammen, deduplizieren und halten das Bild ehrlich.

Quellen
  • N
    Netzwerk-Sensor
    Open Source, Rust, AGPL-3.0.
  • C
    Cloud-Connectors
    AWS · Azure · GCP Cert-Stores
  • A
    CA-Accounts
    DigiCert · Sectigo · GlobalSign · LE
  • T
    CT-Logs
    Schatten-Ausstellungen auf deine Domains
  • I
    Manueller Import
    CSV · PEM-Bundle · Excel-Paste
Ein Inventar
Dedupliziert. Abgeglichen.
Immer aktuell.
  • api.acme.eu14T
  • *.internal.acme82T
  • vpn.acme.eu3T
  • mail.acme.eu61T
  • checkout.acme
Lifecycle-Aktionen
  • Auto-Erneuerung via ACME
    Über deine bestehende CA. Keine Migration.
  • Approval-Workflows
    Pro Team, Domain oder CA
  • Ablauf-Warnungen
    E-Mail · Slack · Webhook · PagerDuty
  • Algorithmus-Migration
    PQC-fähiges Datenmodell ab Tag eins
  • Audit-Log + Export
    Hash-verkettet, manipulationssicher
CA-agnostisch by design

Jede CA, gleichberechtigt.

Sectigo nennt sich CA-agnostisch — die eigene CA ist trotzdem die Default-Wahl. Bei DigiCert dasselbe. Wir sind strukturell agnostisch, weil wir nie selbst zur öffentlich vertrauenswürdigen CA werden. Sechs CAs, gleiches Gewicht, gleiche Automatisierung, Wechsel per Config-Änderung.

DigiCert
Voll automatisiert
Sectigo
Voll automatisiert
GlobalSign
Voll automatisiert
Let's Encrypt
ACME-nativ
ZeroSSL
ACME-nativ
SwissSign
Voll automatisiert
Was NextPKI ist

Drei Dinge. Bewusst nicht ein viertes.

Sectigo und DigiCert sind CAs, die nebenbei einen Manager verkaufen. Diesen Interessenkonflikt werden wir nie haben — weil wir nie selbst öffentliche CA werden.

01 Discovery

Jedes Zertifikat finden

Ein Open-Source-Sensor scannt dein Netzwerk. Cloud- und CA-Connectors ziehen, was schon ausgestellt ist. Certificate Transparency fängt Schatten-Ausstellungen auf deine Domains.

So funktioniert Discovery
02 Lifecycle

Erneuern über deine CAs

Wir wickeln Wiederverkauf und Erneuerung über DigiCert, Sectigo, GlobalSign, Let's Encrypt, ZeroSSL und SwissSign ab. Du behältst deine CA-Beziehungen. Wir halten den Erneuerungs-Workflow konsistent über alle hinweg.

Wie der Reseller-Layer funktioniert
03 Private PKI

Eigene CA, auditiert, HSM-gestützt

Für mTLS-Service-Meshes, Device-Identität, internes Code-Signing und VPN-Clients. Eine private CA für die Komponente mit der höchsten Schadensreichweite in deinem Stack — mit HSM-Isolation jedes Signing-Keys.

Private-PKI-Fähigkeiten

Was wir nicht tun: Wir sind keine öffentlich vertrauenswürdige CA und planen das auch nicht. WebTrust-Audits, Root-Store-Aufnahme und CA-Geschäftsdruck liegen bei unseren Reseller-Partnern. Das ist Absicht und die Quelle unserer Neutralität.

Warum jetzt

Vier Termine, die manuelle Erneuerung zum Risiko machen.

Zwischen heute und 2029 stutzt das CA/B-Forum die TLS-Gültigkeit von einem Jahr auf anderthalb Wochen. Die PQC-Migration läuft parallel.

200T
Ab 15. März 2026

Max. TLS-Gültigkeit auf 200 Tage. CA/B-Forum SC-081v3 in Kraft.

100T
Ab 15. März 2027

Gültigkeit halbiert sich erneut. ACME und CLM werden Pflicht.

47T
Ab 15. März 2029

47-Tage-TLS, 10-Tage-DCV-Reuse. Manueller Betrieb funktioniert nicht mehr.

PQC
Läuft bereits

ML-DSA-Hybrid-Migration. CNSA-2.0-Deadline Januar 2027.

Wie wir uns unterscheiden

CA-gebundene Manager vs. NextPKI.

Sectigo SCMDigiCert TLMNextPKI
Betreiber ist eigene CAJa (Sectigo)Ja (DigiCert)Nein. Neutral by design.
Multi-CA-ErneuerungCA-agnostisch, aber Sectigo bevorzugtAußerhalb DigiCert eingeschränkt6 CAs, gleichberechtigt
Discovery-SensorClosed SourceClosed SourceOpen Source (AGPL-3.0)
DatenstandortUS-zentriertUS-zentriertNur EU
Private CAAdd-onAdd-onHSM-gestützt, auditiert, inklusive
Preis-ModellPro Zertifikat + PlattformgebührPro-Endpunkt-TierKein Discovery-Aufschlag. Siehe Preise.
Pilot-Programm

Den Discovery-Scan bezahlen wir.
Du siehst, was wirklich läuft.

Ehrlicher Scope, keine Preisüberraschungen, Ergebnisse in den ersten zwei Wochen. Wir nehmen gerade einen kleinen Kreis Pilot-Kunden auf.

Für Pilot bewerben Preisansatz
  • Discovery-Scan kostenfrei, bis 25 000 Endpunkte
  • Inventar als CSV plus Audit-Bericht, gehört dir
  • Zwei-Wochen-Pilot-Scope, feste Deliverables, schriftlich
  • Sensor-Source unter AGPL — von deinem Security-Team vor Deployment reviewbar