Hauptbereich
Certificate Authorities validieren DNSSEC per Mitte März 2026
Neue Regelungen vom CA/Browser Forum (Ballot SC-085v2 & SMC014)
|
|
|
|---|---|
|
Relevanz für Zertifikatsnutzer |
★★☆☆☆ (2/5) |
|
Betroffene Nutzer |
Organisationen mit Domains mit DNSSEC-signierten Zonen (TLS: CAA + DCV-Lookups, S/MIME: CAA-Lookups) |
|
Betroffene Zertifikatstypen |
TLS (DV, OV, EV) und S/MIME Zertifikate |
|
Implementierungsaufwand |
★★☆☆☆ (2/5) – Kein Aufwand, wenn DNSSEC bereits korrekt konfiguriert; mittlerer Aufwand bei DNSSEC-Neukonfiguration oder -korrektur |
|
Status CA/B Forum |
|
|
Status SwissSign |
Go-Live geplant für Mitte Februar 2026 |
|
Deadline für Zertifikatsnutzer |
Falls vorhanden: spätestens bis 15. März 2026 DNSSEC-Konfiguration prüfen |
|
Links |
SC-085v2: Require Validation of DNSSEC for CAA and DCV Lookups |
Was ändert sich konkret?
Für TLS-Zertifikate (SC-085v2)
SC-085v2 verlangt DNSSEC-Validierung, wenn vorhanden, sowohl für CAA-Lookups als auch für alle DCV-bezogenen DNS-Abfragen aus der Primary Network Perspective.
Die TLS Baseline Requirements wurden angepasst auf v2.1.6.
Wichtig: Es besteht keine Pflicht zur DNSSEC-Aktivierung für Zertifikatsnutzer!
Für S/MIME-Zertifikate (SMC014)
SMC014 übernimmt dieselben CAA-Anforderungen für S/MIME; die DCV-Anforderungen aus SC-085 gelten für S/MIME indirekt über die normativen Verweise auf TLS-Section 3.2.2.4.
Die S/MIME Baseline Requirements wurden angepasst auf v1.0.12.
Handlungsbedarf für Zertifikatsnutzer
Für Organisationen mit 250+ öffentliche Zertifikaten
Betroffenheit: Mittel
-
Wenn CAA Records genutzt, aber DNSSEC nicht aktiviert: Keine Auswirkung – Validierung läuft wie bisher
-
Wenn CAA + DNSSEC bereits korrekt konfiguriert: Keine Auswirkung – SwissSign wird Validierung transparent erweitern
-
Wenn CAA + DNSSEC aktiviert, aber fehlerhaft konfiguriert (z. B. unsignierte Delegation, expired Keys, fehlende DS-Records): Hohes Risiko – Zertifikatsausstellung wird ab Go-Live bei SwissSign ab voraussichtlich Mitte Februar 2026 fehlschlagen
Was Sie jetzt tun müssen:
-
Inventarisierung: Welche Ihrer Domains haben CAA Records?
-
DNSSEC-Status prüfen: Ist DNSSEC für diese Domains aktiviert?
-
Falls DNSSEC aktiv: Validierung testen mit Tools wie DNSViz oder Verisign DNSSEC Debugger
-
Typische Fehlerquellen:
-
Fehlende DS-Records beim Registrar nach DNSSEC-Aktivierung
-
Expired ZSK/KSK (Zone Signing Keys) bei manueller DNSSEC-Verwaltung
-
Unsignierte Delegationen zu Subdomains
-
TTL-Mismatches zwischen RRSIG und Resource Records
-
Risiken bei Untätigkeit: Ab März 2026 schlagen Zertifikatsausstellungen/-erneuerungen für betroffene Domains fehl. Bei automatisierten Renewal-Prozessen (ACME) kann dies zu ungeplanten Ausfällen führen, wenn Zertifikate nicht rechtzeitig erneuert werden.
Für kleinere Organisationen (<250 öffentliche Zertifikate)
Betroffenheit: Niedrig
Die meisten KMU werden nicht betroffen sein, nur wenige nutzen DNSSEC.
Implementierung bei SwissSign
SwissSign unterstützt die Verschärfung der Sicherheitsanforderungen für CAA-Validierung. DNSSEC ist seit Jahren ein wichtiger Baustein zur Absicherung der DNS-Infrastruktur – diese Ballots bringen die PKI-Industrie auf einen einheitlichen Standard.
Unsere Implementierung: Die technische Umsetzung beider Ballots (SC-085v2 und SMC014) ist für Mitte Februar 2026 geplant.
Hintergrund zum Ballot: Vorbeugen von Man-in-the-Middle-Angriffen
Aktueller Stand: Seit September 2017 müssen Certificate Authorities vor jeder Zertifikatsausstellung prüfen, ob für die betreffende Domain CAA Records (Certification Authority Authorization) im DNS hinterlegt sind. Diese Records erlauben Domain-Inhabern festzulegen, welche CAs Zertifikate ausstellen dürfen – eine wichtige Kontrollebene gegen Fehlausstellungen. Die aktuelle Regelung verlangt jedoch nicht, dass CAs die Authentizität dieser DNS-Antworten über DNSSEC verifizieren. Das bedeutet: Ein Angreifer mit Man-in-the-Middle-Zugriff auf DNS-Queries könnte CAA Records manipulieren oder entfernen.
Problem/Treiber: DNS-Cache-Poisoning und DNS-Spoofing bleiben relevante Angriffsvektoren. Browser-Hersteller (insbesondere Mozilla und Google) fordern seit Jahren verstärkt, dass CAs DNSSEC-Validierung systematisch implementieren. Die jetzigen Ballots sind Teil einer grösseren Initiative zur Stärkung der DNS-Sicherheit im PKI-Ökosystem.
Grundlagen zur Domain-Validierung
Was ist DNSSEC?
DNSSEC (Domain Name System Security Extensions) schützt DNS-Antworten vor Manipulation durch kryptografische Signaturen. Jede DNS-Zone signiert ihre Records mit einem privaten Schlüssel; Resolver können die Authentizität über eine Chain of Trust bis zur Root-Zone verifizieren. DNSSEC verhindert:
-
DNS-Cache-Poisoning (Einschleusen falscher DNS-Daten)
-
Man-in-the-Middle-Angriffe auf DNS-Queries
-
DNS-Spoofing durch kompromittierte Resolver
Was sind DCV-Lookups?
DCV (Domain Control Validation) bezeichnet die technische Prüfung, ob ein Antragsteller tatsächlich die Kontrolle über eine Domain besitzt. Certificate Authorities nutzen dafür unterschiedliche Methoden – eine davon basiert auf DNS-Abfragen. Bei DNS-basierten DCV-Lookups prüft die CA, ob bestimmte, vom Antragsteller platzierte DNS-Records korrekt vorhanden sind (z. B. _acme-challenge.example.com bei ACME-basierten Renewals oder ein definierter TXT-Record für manuelle Validierung). Die CA verlässt sich dabei auf DNS-Antworten, die über das öffentliche DNS geliefert werden. Wenn die Domain DNSSEC nutzt, müssen diese Antworten künftig kryptografisch abgesichert sein: Ein DNSSEC-Fehler (z. B. fehlende Signatur oder ungültige Chain of Trust) führt dazu, dass die CA den DCV-Nachweis als fehlgeschlagen wertet. DCV-Lookups sind damit ein zentraler Punkt, an dem fehlerhafte DNSSEC-Konfigurationen ab März 2026 unmittelbar die Ausstellung oder Erneuerung von Zertifikaten blockieren können – selbst dann, wenn keine CAA-Records gesetzt sind.
Was sind CAA Records?
CAA Records (Certification Authority Authorization, RFC 8659) sind spezielle DNS-Einträge, mit denen Domain-Inhaber festlegen, welche Certificate Authorities Zertifikate für ihre Domain ausstellen dürfen. Ein typischer CAA Record sieht so aus:
example.com. CAA 0 issue "swisssign.com"
example.com. CAA 0 issuewild "swisssign.com"
Dies bedeutet: Nur SwissSign darf Zertifikate für example.com (und Subdomains via issuewild) ausstellen. Seit September 2017 müssen alle öffentlich vertrauenswürdigen CAs CAA Records vor jeder Zertifikatsausstellung prüfen.
Häufige Fragen (FAQ)
Nein. Die Ballots verpflichten NICHT zur DNSSEC-Aktivierung – sie verlangen nur, dass CAs DNSSEC validieren, wenn es aktiviert ist. Wenn Sie kein DNSSEC nutzen, ändert sich für Sie nichts. DNSSEC bleibt optional, aber wenn Sie es nutzen, muss es korrekt konfiguriert sein.
Ab März 2026 wird SwissSign Zertifikatsausstellungen für Domains mit fehlerhaftem DNSSEC ablehnen (wenn CAA Records vorhanden sind). Der Fehler wird klar kommuniziert: "DNSSEC validation failed for CAA lookup" mit Details zum Problem (z. B. "RRSIG expired" oder "missing DS record"). Sie müssen dann die DNSSEC-Konfiguration korrigieren bevor das Zertifikat ausgestellt werden kann.
Nein. Bestehende Zertifikate bleiben bis zu ihrem regulären Ablaufdatum gültig. Die DNSSEC-Validierung greift nur bei Neuausstellungen und Erneuerungen. Wenn Ihr aktuelles Zertifikat im April 2026 abläuft und Sie CAA + fehlerhaftes DNSSEC haben, wird die Erneuerung aber fehlschlagen.
Mit diesen beiden kostenlosen Tools:
-
DNSViz: Visuelles Tool, zeigt DNSSEC-Chain grafisch. Grüne Boxen = alles OK, rote/gelbe Boxen = Probleme.
-
Verisign DNSSEC Debugger: Detaillierte Fehleranalyse mit konkreten Hinweisen zur Behebung.
Ja, über Ballot SMC014. Die technischen Anforderungen sind identisch zu TLS. S/MIME-Zertifikate nutzen CAA Records seltener als TLS, daher ist die praktische Auswirkung geringer. Wenn Sie S/MIME-Zertifikate mit CAA Records nutzen, gelten dieselben Handlungsempfehlungen wie oben.
