Richtlinie zur Änderung der E-Mail-Domänenvalidierung durch CA/B-Forum

03 Mar ‘25

CA/B-Forum kündigt Änderungen bei der Validierung von E-Mail-Domänen an

Das CA/B-Forum hat eine wichtige Änderung bei der jährlichen Validierung von Domänennamen per E-Mail angekündigt, die sich auf Organisationen auswirkt, die Zertifikate von DigiCert und GlobalSign erwerben.

Was ist das CA/B-Forum?

Das Certification Authority Browser Forum (CA/Browser Forum) ist eine Versammlung von Zertifikatsausstellern und Anbietern von Internet-Browsersoftware und anderen Anwendungen, die Zertifikate verwenden (Zertifikatskonsumenten). Sein Zweck besteht darin, branchenweit bewährte Verfahren bei der Verwendung digitaler Zertifikate zum Nutzen der Internetnutzer und zur Sicherheit ihrer Kommunikation zu fördern und zu verbessern.

Anpassung des Domänenvalidierungsverfahrens 2025

WHOIS ist eine öffentliche Datenbank, in der Sie Informationen zu Domänennamen nachschlagen können. Sie enthält Informationen wie den Eigentümer, das Registrierungsdatum des Domänennamens und den Ablaufzeitpunkt. Sie enthält auch die E-Mail-Adresse des Eigentümers des Domänennamens.

Ab dem 24. Februar 2025 ist es nicht mehr möglich, die in WHOIS aufgeführte E-Mail-Adresse des Eigentümers zur Domänenvalidierung zu verwenden. Andere Standard-E-Mail-Adressen wie hostmaster@ und info@ können ab diesem Datum ebenfalls nicht mehr für neue Validierungen verwendet werden.

Diese Änderung betrifft Organisationen, die Domain Validated (DV), Organization Validated (OV), Extended Validation (EV) und S/MIME-Zertifikate von CAs wie DigiCert und GlobalSign erwerben.

Am 14. Juli 2025 laufen alle Domänennamen, die jemals mit der alten E-Mail-Adressmethode validiert wurden, automatisch ab. DV-, OV-, EV- und S/MIME-Zertifikate, die noch falsche E-Mail-Adressen verwenden, sind nicht mehr gültig.

Was ist die neue Art der Validierung?

Um die E-Mail-basierte Validierung weiterhin zu unterstützen, muss jeder Kunde in seinem DNS einen TXT-Eintrag für die Subdomäne „_validation-contactemail“ mit einem „Wert“ einfügen, der auf die Kontakt-E-Mail-Adresse der betreffenden Domäne verweist.

Dieser DNS-Eintrag würde beispielsweise so aussehen:

_validation-contactemail  defaultTTL  myprefferedvalidation@mydomain.com 

Die reguläre DNS- und HTTP TXT-basierte Validierung wird weiterhin bestehen. Domänennamen, die mit dieser Methode validiert wurden, laufen am 14. Juli 2025 nicht ab.

Für Organisationen ist es wichtig, dass diese neue Methode in den bestehenden operativen Zertifikatsverwaltungsprozess integriert wird, damit sie weiterhin ordnungsgemäß ausgeführt wird.

Für weitere Informationen wenden Sie sich bitte an KeyTalk und wir informieren Sie gerne, wie unsere Plattform Ihnen dabei helfen kann.