Navigieren auf SwissID

Eine Datensicherheitsspezialistin der Schweizerischen Post

CA/Browser Forum Updates

Das CA/B Forum fasst kontinuierlich neue Beschlüsse, die die Baseline Requirements für TLS/SSL-Zertifikate, S/MIME oder Code Signing und mehr anpassen. Diese Änderungen haben direkte Auswirkungen auf Certificate Authorities und Zertifikatsnutzer. 

Auf dieser Seite finden Sie

  • Alle relevanten CA/B Forum Beschlüsse für den DACH-Raum verständlich erklärt

  • Konkrete Handlungsempfehlungen für IT-Sicherheitsverantwortliche

  • Timeline der wichtigsten Deadlines

  • Einzigartig: Technische Analysen in deutscher Sprache

Die wichtigsten Fristen auf einen Blick

Deadline

Titel

Betroffen sind

15. März 2026

Falls vorhanden: spätestens bis 15. März 2026 DNSSEC-Konfiguration prüfen

TLS/SSL-Zertifikate

15. März 2026

Verkürzung der maximalen Laufzeit auf 200 Tage

TLS/SSL-Zertifikate

15. Juni 2026

Verwendungszweck "Client-Authentisierung" nicht mehr für öffentliche SSL/TLS-Zertifikate nutzen

TLS/SSL-Zertifikate

15. März 2027

Verkürzung der maximalen Laufzeit auf 100 Tage

TLS/SSL-Zertifikate

15. März 2029

Verkürzung der maximalen Laufzeit auf 47 Tage

TLS/SSL-Zertifikate

Hohe Relevanz für Zertifikatsnutzer

47 Tage Laufzeiten für SSL/TLS, 10 Tage für Domain-Validierungen

Ballot SC-094

Relevanz für Zertifikatsnutzer: ★★★★★ (5/5)

Betroffene Nutzer: Alle Organisationen mit öffentlichen TLS/SSL-Zertifikaten

Betroffene Zertifikatstypen: TLS/SSL (DV, OV, EV)

Implementierungsaufwand: ★★★★★ (5/5) – Automatisierung zwingend erforderlich (ACME, REST API, CLM-Lösung)

Status CA/B Forum: Ballot SC-094 – Verabschiedet 4. April 2025. Stufenweise Einführung: 200 Tage (März 2026) → 100 Tage (März 2027) → 47 Tage (März 2029)

Status SwissSign: Übergang auf tagesbasierte Gültigkeiten ab Januar 2026, Reduktion auf 200 Tage geplant für Mitte März. Weitere Fristen folgen.

Deadline für Zertifikatsnutzer: 15. März 2026 (erste Reduktion auf 200 Tage)

Alle Details

Client Authentication in SSL/TLS-Zertifikaten ab 2026 nicht mehr unterstützt

Google Chrome Root Program Policy

Relevanz für Zertifikatsnutzer: ★★★★☆ (4/5)

Betroffene Nutzer: Organisationen, die öffentliche TLS-Zertifikate für Client-Authentifizierung nutzen (Mutual TLS)

Betroffene Zertifikatstypen: Öffentliche TLS-Server-Zertifikate mit Extended Key Usage "Client Authentication"

Implementierungsaufwand: ★★★☆☆ (3/5) – Nutzung von privaten Zertifikaten oder S/MIME

Status CA/B Forum: Google Chrome Root Program Policy – In Kraft 15. Juni 2026

Status SwissSign: Umsetzung für SSL/TLS-Zertifikate im Q2-2026

Deadline für Zertifikatsnutzer: 15. Juni 2026

Alle Details

Mittlere Relevanz für Zertifikatsnutzer

Certificate Authorities validieren DNSSEC

Ballot SC-085v2 & SMC014

Relevanz für Zertifikatsnutzer: ★★☆☆☆ (2/5)

Betroffene Nutzer: Organisationen mit Domains mit DNSSEC-signierten Zonen (TLS: CAA + DCV-Lookups, S/MIME: CAA-Lookups)

Betroffene Zertifikatstypen: TLS (DV, OV, EV) und S/MIME Zertifikate

Implementierungsaufwand: ★★☆☆☆ (2/5) – Kein Aufwand, wenn DNSSEC bereits korrekt konfiguriert; mittlerer Aufwand bei DNSSEC-Neukonfiguration oder -korrektur

Status SwissSign: Go-Live geplant für Mitte Februar 2026

Deadline für Zertifikatsnutzer: Falls vorhanden: spätestens bis 15. März 2026 DNSSEC-Konfiguration prüfen

Alle Details

Certificate Authorities validieren Domains aus mehreren Netzwerk-Standorten ab September 2025

CA/B Forum Ballots SC-067 (TLS) & SMC-010 (S/MIME)

Relevanz für Zertifikatsnutzer: ★★★☆☆ (3/5)

Betroffene Nutzer: Organisationen mit restriktiven Firewall-Regeln, geografisch eingeschränkten DNS-Auflösungen oder IP-Whitelists für Validierungs-Server

Betroffene Zertifikatstypen: TLS/SSL-Zertifikate, S/MIME-Zertifikate (beide für öffentlich vertrauenswürdige Zertifikate)

Implementierungsaufwand: ★★☆☆☆ (2/5) – Niedrig für die meisten Organisationen; mittel bis hoch nur bei restriktiven Netzwerkkonfigurationen (Firewalls, Geo-Blocking, IP-Whitelists)

Status CA/B Forum:

  • SC-067 (TLS): Verabschiedet 5. August 2024, in Kraft 15. September 2025

  • SMC-010 (S/MIME): Verabschiedet 22. Dezember 2024, Compliance-Datum 15. Mai 2025, vollständige Umsetzung 15. September 2025

  • Stufenweise Erhöhung: März 2026 (3 Perspektiven), Juni 2026 (4 Perspektiven), Dezember 2026 (5 Perspektiven)

Status SwissSign: Einführung im Februar 2025; stufenweise Erhöhung bis Dezember 2026 um

Deadline für Zertifikatsnutzer: keine Anpassung erforderlich

Alle Details

Gut zu wissen für Zertifikatsnutzer

EUID, die neue international eindeutige Organisationskennung

Ballot SMC011

Relevanz für Zertifikatsnutzer: ★★☆☆☆ (2/5)

Betroffene Nutzer: Deutsche Organisationen mit Handelsregistereintrag (mehrdeutige HR-Nummern), OV/EV-Zertifikate

Betroffene Zertifikatstypen: OV und EV SSL/TLS, S/MIME mit OrganizationIdentifier

Implementierungsaufwand: ★☆☆☆☆ (1/5) – Keine Aktion erforderlich (automatische CA-seitige Implementierung)

Status CA/B Forum: Ballot SMC011 (S/MIME BR) – Verabschiedet 31. März 2025, in Kraft 14. Mai 2025

Status SwissSign: Bereits implementiert

Deadline für Zertifikatsnutzer: Keine (CA-seitige Änderung)

Alle Details

Häufige Fragen (FAQ)

Das CA/Browser Forum ist eine freiwillige Organisation von Certificate Authorities (CAs) und Browser-Herstellern (z.B. Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari), die Standards für öffentlich vertrauenswürdige TLS/SSL- und S/MIME-Zertifikate definiert sowie Regeln für die Certificate Authorities definiert, die von den Browser als vertrauenswürdig anerkannt werden.

Certificate Authorities müssen die sogenannten Baseline Requirements erfüllen, um in Browser Root Stores aufgenommen zu bleiben. Zertifikatsnutzer sind indirekt betroffen, wenn Änderungen neue Validierungsmethoden erfordern oder Zertifikats-Gültigkeiten reduziert werden.

Das CA/B Forum hat in den vergangenen beiden Jahren 15-20 Ballots pro Jahr verabschiedet, die meisten betreffen TLS/SSL-Zertifikate.

Alle offiziellen Ballots sind auf cabforum.org verfügbar. SwissSign bietet die wichtigsten Ballots in deutscher Sprache mit praktischen Handlungsempfehlungen.

Die CA/B Forum Dokumente sind technisch komplex und nur auf Englisch verfügbar. SwissSign übersetzt die relevanten Änderungen nicht nur, sondern erklärt sie praxisnah für IT-Sicherheitsverantwortliche im DACH-Raum.

Über diese Seite

Ziel: SwissSign dokumentiert alle relevanten CA/B Forum Ballots, die Auswirkungen auf Zertifikatsnutzer im DACH-Raum haben. Wir fokussieren uns auf praxisrelevante Änderungen mit konkreten Handlungsempfehlungen.

Auswahlkriterien:

  • Ballots mit direkter Handlungsrelevanz für Nutzer

  • CA-interne Änderungen mit möglichen Auswirkungen auf Nutzer

  • Fokus auf TLS/SSL- und S/MIME-Zertifikate

Quellen:

  • CA/B Forum Official Website (cabforum.org) + Dokumentation auf GitHub

  • SwissSign Team

SwissSign

Ressourcen

Wissen

Support

Eine Datensicherheitsspezialistin der Schweizerischen Post

Logo von «Die Post», Sie gelangen zur Website von «Die Post».