Aktivierung von DNSSEC am 02.03.2026

Wir möchten Sie auf die geplante Aktivierung der DNSSEC-Validierung (sofern vorhanden) für CAA- und DCV-Abfragen hinweisen. 

Was muss ich als Kunde tun? 

• Wichtig: Es besteht keine Pflicht zur DNSSEC-Aktivierung für Zertifikatsnutzer! 
• Kein Aufwand, wenn DNSSEC bereits korrekt konfiguriert ist; mittlerer Aufwand bei DNSSEC-Neukonfiguration oder -korrektur. 
• Bitte beachten Sie, dass die Umstellung zu leichten Verzögerungen bei der Zertifikatsausstellung führen kann. 
• Weitere Informationen finden Sie im Blogbeitrag „Certificate Authorities validieren DNSSEC“.  

 

Zeitplan 

Der folgende Einführungstag für die Aktivierung der DNSSEC-Validierung ist geplant: 

• Production-Umgebung: 2.März 2026 

 

Hintergrund 

• Aktueller Stand: Seit September 2017 müssen Certificate Authorities vor jeder Zertifikatsausstellung prüfen, ob für die betreffende Domain CAA Records (Certification Authority Authorization) im DNS hinterlegt sind. Diese Records erlauben Domain-Inhabern festzulegen, welche CAs Zertifikate ausstellen dürfen – eine wichtige Kontrollebene gegen Fehlausstellungen. Die aktuelle Regelung verlangt jedoch nicht, dass CAs die Authentizität dieser DNS-Antworten über DNSSEC verifizieren. Das bedeutet: Ein Angreifer mit Man-in-the-Middle-Zugriff auf DNS-Queries könnte CAA Records manipulieren oder entfernen. 
• Problem/Treiber: DNS-Cache-Poisoning und DNS-Spoofing bleiben relevante Angriffsvektoren. Browser-Hersteller (insbesondere Mozilla und Google) fordern seit Jahren verstärkt, dass CAs DNSSEC-Validierung systematisch implementieren. Die jetzigen Ballots sind Teil einer grösseren Initiative zur Stärkung der DNS-Sicherheit im PKI-Ökosystem. 

 

Für Rückfragen stehen wir gerne zur Verfügung. 

Freundliche Grüsse 

Ihr SwissSign-Team