Aanpassing e-mail domeinvalidatie door CA/B Forum

03 mrt ‘25

Aanpassing e-mail domeinvalidatie door CA/B Forum 

Het CA/B forum heeft een grote wijziging aangekondigd met betrekking tot de jaarlijkse validatie van domeinnamen via e-mail. Dat heeft impact op organisaties die certificaten afnemen van DigiCert en GlobalSign. 

Wat is het CA/B forum ook alweer? 

Het Certification Authority Browser Forum (CA/Browser Forum) is een bijeenkomst van certificaatuitgevers en leveranciers van internetbrowsersoftware en andere applicaties die gebruikmaken van certificaten (Certificate Consumers). Zij heeft als doel om de beste praktijken in de sector, wat betreft de manier waarop digitale certificaten worden gebruikt, te bevorderen en te verbeteren ten behoeve van internetgebruikers en de veiligheid van hun communicatie. 

Aanpassing aan werkwijze domeinvalidatie 2025 

WHOIS is een openbare database waarmee men informatie over domeinnamen kan opzoeken. Het bevat gegevens zoals wie de eigenaar is, de registratiedatum van de domeinnaam en wanneer deze verloopt. Het bevat ook het e-mailadres van de eigenaar van de domeinnaam. 

Vanaf 24 februari 2025 is het voor domeinvalidatie niet meer mogelijk om het e-mailadres van de eigenaar, dat vermeld staat bij WHOIS, daarvoor te gebruiken. Andere standaard mailadressen zoals hostmaster@ en info@ mogen vanaf die datum ook niet meer gebruikt worden voor nieuwe validaties. 

Deze wijziging heeft impact op organisaties die Domain Validated (DV), Organization Valdiated (OV), Extended Validation (EV) en S/MIME certificaten afnemen via CA’s zoals DigiCert en GlobalSign.  

Op 14 juli 2025 zullen alle domeinnamen die ooit met de oude mailadres methode zijn gevalideerd, automatisch verlopen. De DV, OV, EV en S/MIME certificaten die dan nog onjuiste email adressen gebruiken zullen daardoor niet meer valide zijn. 

Wat is de nieuwe werkwijze? 

Om mailgebaseerde validatie te blijven ondersteunen, moet elke klant een TXT-record op zijn DNS opnemen voor het subdomein “_validation-contactemail” met een “waarde” verwijzing naar het contactmailadres van het betreffende domein.

Dit DNS record ziet er als voorbeeld dan zo uit: 

_validation-contactemail  defaultTTL  myprefferedvalidation@mydomain.com 

Reguliere DNS en HTTP TXT gebaseerde validatie zal wel blijven bestaan. Domeinnamen die via deze methode zijn gevalideerd zullen niet op 14 juli 2025 verlopen. 

Voor organisaties is het belangrijk dat deze nieuwe werkwijze opgenomen wordt in de bestaande certificaatbeheerproces zodat deze correct zal blijven verlopen.  

Voor meer informatie neem contact op met KeyTalk en wij informeren u graag hoe ons platform u hierin kan helpen.