Navigieren auf SwissID

CA/Browser Forum Updates

Das CA/B Forum fasst kontinuierlich neue Beschlüsse, die die Baseline Requirements für TLS/SSL-Zertifikate, S/MIME oder Code Signing und mehr anpassen. Diese Änderungen haben direkte Auswirkungen auf Certificate Authorities und Zertifikatsnutzer. 

Auf dieser Seite finden Sie

  • Alle relevanten CA/B Forum Beschlüsse für den DACH-Raum verständlich erklärt

  • Konkrete Handlungsempfehlungen für IT-Sicherheitsverantwortliche

  • Timeline der wichtigsten Deadlines

  • Einzigartig: Technische Analysen in deutscher Sprache

Die wichtigsten Fristen auf einen Blick

Deadline

Titel

Betroffen sind

Juli 2026

Wiederverwendbare DNS-Validierung für SwissSign-Zertifikate geplant

TLS/SSL + S/MIME

15. März 2027

SwissSign: Wird bekanntgegeben

Verkürzung der maximalen Laufzeit auf 100 Tage

SwissSign: 98 Tage

TLS/SSL-Zertifikate

15. März 2027

SwissSign: Wird bekanntgegeben

Verwendungszweck "Client-Authentisierung" nicht mehr für öffentliche SSL/TLS-Zertifikate nutzen

TLS/SSL-Zertifikate

15. März 2029

SwissSign: Wird bekanntgegeben

Verkürzung der maximalen Laufzeit auf 47 Tage

SwissSign: 45 Tage

TLS/SSL-Zertifikate

Hohe Relevanz für Zertifikatsnutzer

47 Tage Laufzeiten für SSL/TLS, 10 Tage für Domain-Validierungen

Ballot SC-094

Relevanz für Zertifikatsnutzer: ★★★★★ (5/5)

Betroffene Nutzer: Alle Organisationen mit öffentlichen TLS/SSL-Zertifikaten

Betroffene Zertifikatstypen: TLS/SSL (DV, OV, EV)

Implementierungsaufwand: ★★★★★ (5/5) – Automatisierung zwingend erforderlich (ACME, REST API, CLM-Lösung)

Status CA/B Forum: Ballot SC-094 – Verabschiedet 4. April 2025. Stufenweise Einführung: 200 Tage (März 2026) → 100 Tage (März 2027) → 47 Tage (März 2029)

Status SwissSign: Übergang auf tagesbasierte Gültigkeiten ab Januar 2026, Reduktion auf 200 Tage geplant per 09. März 2026

Deadline für Zertifikatsnutzer: 15. März 2026 (erste Reduktion auf 200 Tage)

Alle Details

Client Authentication in SSL/TLS-Zertifikaten ab 2027 nicht mehr unterstützt

Google Chrome Root Program Policy

Relevanz für Zertifikatsnutzer: ★★★★☆ (4/5)

Betroffene Nutzer: Organisationen, die öffentliche TLS-Zertifikate für Client-Authentifizierung nutzen (Mutual TLS)

Betroffene Zertifikatstypen: Öffentliche TLS-Server-Zertifikate mit Extended Key Usage "Client Authentication"

Implementierungsaufwand: ★★★☆☆ (3/5) – Nutzung von privaten Zertifikaten oder S/MIME

Status CA/B Forum: Google Chrome Root Program Policy – In Kraft 15. März 2027

Status SwissSign: Umsetzung für SSL/TLS-Zertifikate wird bekanntgegeben

Deadline für Zertifikatsnutzer: 15. März 2027

Alle Details

Mittlere Relevanz für Zertifikatsnutzer

Certificate Authorities validieren DNSSEC

Ballot SC-085v2 & SMC014

Relevanz für Zertifikatsnutzer: ★★☆☆☆ (2/5)

Betroffene Nutzer: Organisationen mit Domains mit DNSSEC-signierten Zonen (TLS: CAA + DCV-Lookups, S/MIME: CAA-Lookups)

Betroffene Zertifikatstypen: TLS (DV, OV, EV) und S/MIME Zertifikate

Implementierungsaufwand: ★★☆☆☆ (2/5) – Kein Aufwand, wenn DNSSEC bereits korrekt konfiguriert; mittlerer Aufwand bei DNSSEC-Neukonfiguration oder -korrektur

Status SwissSign: Go-Live geplant für Anfangs März 2026

Deadline für Zertifikatsnutzer: Falls vorhanden: spätestens bis 15. März 2026 DNSSEC-Konfiguration prüfen

Alle Details

Wiederverwendbare DNS-Validierung

CA/B Forum Ballot SC-088v3 (TLS)

Relevanz für Zertifikatsnutzer: ★★☆☆☆ (2/5) – steigt auf ★★★★☆ (4/5) bis 2029

Betroffene Nutzer: Organisationen mit automatisierter Zertifikatsausstellung (MPKI, CLM-Plattformen) – besonders relevant ab 2029

Betroffene Zertifikatstypen: Alle TLS/SSL und S/MIME-Zertifikate – jedes benötigt Domain-Validierung

Implementierungsaufwand: ★★☆☆☆ (2/5) – Einmaliges DNS-Setup pro Domain, Revalidierung mindestens alle 10 Tage (bereit für 2029)

Status CA/B Forum: SC-088v3 (Server Certificate) verabschiedet 9. Oktober 2025, in Kraft 11. November 2025

Status SwissSign: Go-live geplant für Sommer 2026, Revalidierung alle 8 Tage

Deadline für Zertifikatsnutzer: Keine (optionale Methode)

Links zu den Ballots:

Alle Details

Certificate Authorities validieren Domains aus mehreren Netzwerk-Standorten ab September 2025

CA/B Forum Ballots SC-067 (TLS) & SMC-010 (S/MIME)

Relevanz für Zertifikatsnutzer: ★★★☆☆ (3/5)

Betroffene Nutzer: Organisationen mit restriktiven Firewall-Regeln, geografisch eingeschränkten DNS-Auflösungen oder IP-Whitelists für Validierungs-Server

Betroffene Zertifikatstypen: TLS/SSL-Zertifikate, S/MIME-Zertifikate (beide für öffentlich vertrauenswürdige Zertifikate)

Implementierungsaufwand: ★★☆☆☆ (2/5) – Niedrig für die meisten Organisationen; mittel bis hoch nur bei restriktiven Netzwerkkonfigurationen (Firewalls, Geo-Blocking, IP-Whitelists)

Status CA/B Forum:

  • SC-067 (TLS): Verabschiedet 5. August 2024, in Kraft 15. September 2025

  • SMC-010 (S/MIME): Verabschiedet 22. Dezember 2024, Compliance-Datum 15. Mai 2025, vollständige Umsetzung 15. September 2025

  • Stufenweise Erhöhung: März 2026 (3 Perspektiven), Juni 2026 (4 Perspektiven), Dezember 2026 (5 Perspektiven)

Status SwissSign: Einführung im Februar 2025; stufenweise Erhöhung bis Dezember 2026 um

Deadline für Zertifikatsnutzer: keine Anpassung erforderlich

Alle Details

Gut zu wissen für Zertifikatsnutzer

EUID, die neue international eindeutige Organisationskennung

Ballot SMC011

Relevanz für Zertifikatsnutzer: ★★☆☆☆ (2/5)

Betroffene Nutzer: Deutsche Organisationen mit Handelsregistereintrag (mehrdeutige HR-Nummern), OV/EV-Zertifikate

Betroffene Zertifikatstypen: OV und EV SSL/TLS, S/MIME mit OrganizationIdentifier

Implementierungsaufwand: ★☆☆☆☆ (1/5) – Keine Aktion erforderlich (automatische CA-seitige Implementierung)

Status CA/B Forum: Ballot SMC011 (S/MIME BR) – Verabschiedet 31. März 2025, in Kraft 14. Mai 2025

Status SwissSign: Bereits implementiert

Deadline für Zertifikatsnutzer: Keine (CA-seitige Änderung)

Alle Details

Zertifikatsmanagement 2026: Webinar zu PKI-Best Practice für mittlere bis grosse Organisationen

Von der schrittweisen Verkürzung der Gültigkeitsdauer bis hin zu den wachsenden Herausforderungen durch private Zertifikate und postquantenkryptografische Verfahren: Erfahren Sie mehr von unserem Head of Certificate Services, Alain Favre, in unserem Webinar zu Public-Key-Infrastruktur Best Practices im Jahr 2026 geht (auf Englisch):

  • Herausforderungen: Verkürzung der Gültigkeitsdauer von Zertifikaten, PQC, digitale Souveränität

  • Drei Säulen für Ihr PKI-Management im Jahr 2026: Erfassung, Governance, Automatisierung

  • Demo des Certificate Lifecycle Managements von SwissSign, powered by Evertrust

  • Umsetzung und praktische Tipps

Donnerstag, 21. Mai, 11–12 Uhr

Unser Webinar richtet sich in erster Linie an Organisationen in regulierten Branchen wie dem Bank- und Versicherungswesen, dem öffentlichen Sektor oder dem Bereich kritischer Infrastrukturen sowie an Unternehmen, die mit diesen Organisationen zusammenarbeiten.

(Mit der Anmeldung zum Webinar erklären Sie sich damit einverstanden, dass die SwissSign AG Ihre Daten zum Zweck der Kontaktaufnahme und/oder zu Werbezwecken verarbeitet. Weitere Informationen finden Sie unter www.swisssign.com/webinar-privacy.)

Jetzt anmelden

Häufige Fragen (FAQ)

Das CA/Browser Forum ist eine freiwillige Organisation von Certificate Authorities (CAs) und Browser-Herstellern (z.B. Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari), die Standards für öffentlich vertrauenswürdige TLS/SSL- und S/MIME-Zertifikate definiert sowie Regeln für die Certificate Authorities definiert, die von den Browser als vertrauenswürdig anerkannt werden.

Certificate Authorities müssen die sogenannten Baseline Requirements erfüllen, um in Browser Root Stores aufgenommen zu bleiben. Zertifikatsnutzer sind indirekt betroffen, wenn Änderungen neue Validierungsmethoden erfordern oder Zertifikats-Gültigkeiten reduziert werden.

Das CA/B Forum hat in den vergangenen beiden Jahren 15-20 Ballots pro Jahr verabschiedet, die meisten betreffen TLS/SSL-Zertifikate.

Alle offiziellen Ballots sind auf cabforum.org verfügbar. SwissSign bietet die wichtigsten Ballots in deutscher Sprache mit praktischen Handlungsempfehlungen.

Die CA/B Forum Dokumente sind technisch komplex und nur auf Englisch verfügbar. SwissSign übersetzt die relevanten Änderungen nicht nur, sondern erklärt sie praxisnah für IT-Sicherheitsverantwortliche im DACH-Raum.

Über diese Seite

Ziel: SwissSign dokumentiert alle relevanten CA/B Forum Ballots, die Auswirkungen auf Zertifikatsnutzer im DACH-Raum haben. Wir fokussieren uns auf praxisrelevante Änderungen mit konkreten Handlungsempfehlungen.

Auswahlkriterien:

  • Ballots mit direkter Handlungsrelevanz für Nutzer

  • CA-interne Änderungen mit möglichen Auswirkungen auf Nutzer

  • Fokus auf TLS/SSL- und S/MIME-Zertifikate

Quellen:

  • CA/B Forum Official Website (cabforum.org) + Dokumentation auf GitHub

  • SwissSign Team

SwissSign

Ressourcen

Wissen

Support