Hauptbereich
Neue Domain-Validierungsmethode vereinfacht Zertifikatsmanagement
Wiederverwendbare DNS-Validierung in Kraft seit November 2025 (Ballot SC-088v3).
|
|
|
|---|---|
|
Relevanz für Zertifikatsnutzer |
★★☆☆☆ (2/5) - steigt auf ★★★★☆ (4/5) bis 2029 |
|
Betroffene Nutzer |
Organisationen mit automatisierter Zertifikatsausstellung (MPKI, CLM-Plattformen), besonders relevant ab 2029 |
|
Betroffene Zertifikatstypen |
TLS (DV, OV, EV) und S/MIME Zertifikate |
|
Implementierungsaufwand |
★★☆☆☆ (2/5). Einmaliges DNS-Setup pro Domain, Revalidierung mindestens alle 10 Tage (bereit für 2029) |
|
Status CA/B Forum |
SC-088v3 (Server Certificate) verabschiedet 9. Oktober 2025, in Kraft 11. November 2025 |
|
Status SwissSign |
Go-live geplant für Sommer 2026, Revalidierung alle 8 Tage |
|
Deadline für Zertifikatsnutzer |
Keine (optionale Methode) |
|
Links |
DNS-Validierung: Was ändert sich konkret?
Certificate Authorities können seit 11. November 2025 für die Domain-Validierung eine neue Methode nach Section 3.2.2.4.22 «DNS TXT Record with Persistent Value» nutzen. CAs erstellen einen an den Account gebundenen Token, den Nutzer in ihrem DNS platzieren. Diesen validiert die CA anschliessend mindestens alle 10 Tage. Anders als bei den herkömmlichen Methoden muss also nicht für jede Domain-Validierung ein neuer TXT-Record mit Random Value platziert werden. Die Validierungsfrequenz entspricht bereits den Vorgaben, die ab März 2029 generell für die Domain-Validierung gelten werden.
Die TLS Baseline Requirements wurden angepasst auf v2.1.9.
Handlungsbedarf für Zertifikatsnutzer
Für Organisationen mit 250+ Zertifikaten
Betroffenheit: Mittel bis Hoch (steigt ab 2026)
Wenn Sie automatisiertes Zertifikatsmanagement nutzen (Managed PKI, ACME, REST APIs, CLM-Plattformen): Die neue Methode ist bereits heute praktisch. Während andere Methoden (DNS-01, HTTP-01) bei jeder Domain-Validierung eine Änderung erfordern, validiert die CA bei Persistent DNS mindestens alle 10 Tage automatisch denselben Record — ohne dass Sie den DNS anpassen müssen.
Wenn Sie strikte DNS Change-Management-Prozesse haben: Persistent DNS ist ideal — einmalige DNS-Änderung statt mehrfach jährlich.
Wenn Sie viele Domains verwalten: Der administrative Aufwand sinkt drastisch. 100 Domains × 4 Validierungen pro Jahr = 400 DNS-Änderungen mit anderen Methoden vs. 100 einmalige Einrichtungen mit Persistent DNS.
Vorbereitung auf 2029: Ab 2029 sinkt die maximal erlaubte Laufzeit für TLS/SSL-Zertifikate auf 47 Tage — und die Domain-Inhaberschaft muss mindestens alle 10 Tage validiert werden. Mit Persistent DNS sind Sie bereits vorbereitet.
Was Sie jetzt tun können: Wir informieren rechtzeitig hier, im RSS-Feed sowie per E-Mail, bevor wir die Validierungsmethode in unserer MPKI aufschalten, wie Sie diese einrichten können.
Risiken bei Untätigkeit: Spätestens 2029 wird es Pflicht, die Domain-Informationen mindestens alle 10 Tage zu validieren. Dies macht manuelles DNS-Management zunehmend unmöglich. Mit Persistent DNS sind Sie bereits heute vorbereitet und sparen DNS-Änderungen. Organisationen, die erst 2029 umstellen, müssen dann unter Zeitdruck hunderte DNS Records migrieren.
Für kleinere Organisationen (<250 Zertifikate)
Betroffenheit: Niedrig bis Mittel
Für manuelle Workflows mit seltenen Zertifikatsausstellungen und unkritischem DNS-Management bleibt der Nutzen begrenzt bis 2026/2027.
Implementierung bei SwissSign
SwissSign setzt diese neue Validierungsmethode voraussichtlich im Juli 2026 um, um Kunden eine höhere DNS-Sicherheit zu bieten und der Vorbereitung auf kürzere Laufzeiten genügend Zeit zu geben. Um eine Sicherheitsmarge zu gewähren, wie es der Praxis der Certificate Authorities entspricht, wird SwissSign die Domains mit der neuen Methode alle 8 Tage revalidieren.
Hintergrund zum Ballot: Reduktion operativer Komplexität
Aktueller Stand: Bei Zertifikatslaufzeiten von mehr als einem Jahr bedeutet das manuelle Management von DNS-Einträgen einen vertretbaren Aufwand für die meisten Organisationen.
Problem/Treiber: Die Fristen für die Wiederverwendbarkeit von Domain-Validierungsinformationen werden in den kommenden Jahren deutlich verkürzt, dies mit dem Ziel, die Sicherheit des gesamten öffentlichen PKI-Ökosystems zu stärken:
-
Per 15. März 2026 sinkt die maximale Wiederverwendbarkeit auf 200 Tage
-
Per 15. März 2027: maximal 100 Tage
-
Per 15. März 2029: maximal 10 Tage
Kontext: Die neue Methode löst dieses Problem — der DNS Record wird einmalig erstellt und bleibt permanent. Die CA revalidiert mindestens alle 10 Tage, aber ohne dass der Nutzer den DNS ändern muss. Dies macht die Methode bereits heute wertvoll und essentiell für 2029.
Grundlagen zur DNS-basierten Domain-Validierung
Was ist DNS-basierte Domain-Validierung (bisherige Methoden)?
DNS-basierte Domain-Validierung ist eine Methode, bei der die CA prüft, ob der Antragsteller Kontrolle über die DNS-Zone einer Domain hat:
-
CA generiert einen zufälligen Token oder fordert einen Request Token an
-
Antragsteller erstellt DNS TXT Record (z.B. unter _acme-challenge.example.com) mit diesem Token
-
CA fragt den DNS Record ab und validiert den Token
-
Nach erfolgreicher Validierung kann der Record gelöscht werden
-
Bei jeder Domain-Validierung wird dieser Prozess mit einem neuen Token wiederholt
Diese Methode existiert in verschiedenen Varianten (DNS-01 Challenge für ACME, DNS Change Method 3.2.2.4.7, etc.).
Was ist Persistent DNS TXT Validation (neue Methode)?
Die neue Methode funktioniert ähnlich, aber mit wiederverwendbaren Records, die mindestens alle 10 Tage durch die Certificate Authority revalidiert werden.
Sicherheit:
-
Der Issuer Domain Name verhindert, dass andere («böse») CAs den gleichen Record missbrauchen können
-
Die Account-URI stellt sicher, dass nur der rechtmässige Kunde Zertifikate ausstellen kann
-
Die 10-Tages-Höchstgrenze reduziert das Risiko bei Domain-Übernahmen
Was ist eine Account-URI?
Die Account-URI ist eine eindeutige Kennung (im URI-Format), die SwissSign jedem Kunden-Account zuweist.
Diese URI dient als Autorisierungsnachweis: Nur wer sowohl Zugriff auf die DNS-Zone hat UND die korrekte Account-URI kennt, kann Zertifikate ausstellen lassen. Ein Angreifer, der nur die DNS-Zone kompromittiert, kann ohne die Account-URI keine Zertifikate erhalten.
Häufige Fragen (FAQ)
Sie können für jede CA einen separaten DNS TXT Record erstellen. Die Records werden durch den Issuer Domain Name unterschieden, so dass jede CA nur ihren eigenen Record validiert. Mehrere TXT Records für den gleichen Namen sind in DNS erlaubt und werden alle zurückgegeben.
Ja. Die Persistent DNS Methode unterstützt Wildcard-Zertifikate (z.B. *.example.com). Einmal validiert, kann die CA auch Zertifikate für andere FQDNs ausstellen, die mit allen Domain Labels des validierten FQDN enden — genau wie bei anderen DNS-basierten Methoden.
Records nach der neuen Methode müssen nicht mehr manuell durch den Nutzer erneuert werden. Optional lässt sich das Attribut persistUntil ergänzen — ein optionaler Parameter im TXT-Record der neuen Persistent DNS TXT Validation Methode. Es gibt an, bis wann die CA diesen Validierungs-Record als gültig betrachten darf. Wird dieser Parameter nicht angegeben, gilt der Record als «ohne Ablaufdatum» und wird durch die CA mindestens alle zehn Tage revalidiert.
Mit diesen zwei kostenlosen Tools:
-
dig: Gibt den aktuellen DNS TXT Record aus — prüfen Sie, ob Format und Werte korrekt sind
-
DNS Checker: Zeigt DNS-Propagation weltweit an — stellen Sie sicher, dass der Record überall sichtbar ist
Ja, denn auch für S/MIME-Zertifikate muss die Inhaberschaft der verwendeten Domain nachgewiesen werden. Die Section 3.2.2.1 der S/MIME-Regulierung verweist auf Section 3.2.2.4 der TLS-Regulierung.
Ja. Alle TLS/SSL-Zertifikate (DV, OV, EV) benötigen Domain-Validierung gemäss Section 3.2.2.4. Die neue Methode kann für die Domain-Validierung jedes TLS/SSL-Zertifikats verwendet werden (die Wiederverwendbarkeit der «Subject Identity Information» sinkt ebenfalls im Zuge der Laufzeitenanpassung). OV- und EV-Zertifikate benötigen zusätzlich Organisationsvalidierung, aber die Domain-Validierung funktioniert identisch.
