Security

DNSSEC-Pflicht bei CAA-Abfragen: SwissSign beginnt mit der Umsetzung der Anforderungen des CA/Browser Forums

Yannic Röcken

25. Feb. 2026 — 2 min read

Im Frühjahr 2026 treten neue Anforderungen des CA/Browser Forums in Kraft, welche die Validierung von CAA-Einträgen deutlich verschärfen. SwissSign setzt diese Vorgaben frühzeitig um und aktiviert am 2. März 2026 die verpflichtende DNSSEC-Validierung bei Anfragen zu CAA- und DCV-Daten. Zertifikatsanträge werden somit nur noch dann erfolgreich verarbeitet, wenn die DNSSEC-Chain der jeweiligen Domain vollständig und korrekt aufgebaut ist.

Hintergrund der neuen Vorgaben

Seit 2017 sind Zertifizierungsstellen (CAs) verpflichtet, vor der Ausstellung eines Zertifikats zu prüfen, ob für eine Domain CAA-Einträge existieren. Diese legen fest, welche Certificate Authorities (CA) Zertifikate für eine Domain ausstellen dürfen. Eine DNSSEC-Prüfung war jedoch bisher nicht vorgeschrieben, sodass manipulierte oder unvollständige DNS-Antworten theoretisch nicht auffallen konnten.

Angriffe auf die DNS-Infrastruktur, wie etwa Spoofing oder Cache Poisoning, rücken zunehmend in den Fokus größerer Sicherheitsinitiativen. Seit Jahren drängen Browserhersteller wie Mozilla und Google auf die verpflichtende Überprüfung kryptografisch abgesicherter DNS-Antworten. Das CA/B-Forum hat die Validierung nun verbindlich gemacht. Für alle Zertifizierungsstellen gilt der 15. März 2026 als Stichtag.

Technische Auswirkungen für Organisationen

Betroffen sind ausschließlich Domains, für die DNSSEC aktiviert wurde. Für nicht signierte Zonen ändern sich die Abläufe nicht. Sobald eine Domain jedoch DNSSEC nutzt, müssen alle zugehörigen Komponenten fehlerfrei arbeiten. Dazu gehören gültige Zonensignaturen, ein korrekt veröffentlichter DS-Record beim Registrar und eine ungebrochene Vertrauenskette bis zur Root-Zone.

Fehler in diesem Bereich, etwa veraltete Signaturschlüssel, fehlende DS-Einträge oder eine unvollständige Delegation, führen ab dem Go-Live dazu, dass SwissSign keine S/MIME-Zertifikate für die betroffene Domain ausstellen kann.

Prüfung und Validierung der DNSSEC-Konfiguration

Administratoren sollten überprüfen, ob die Konfiguration ihrer signierten Zonen vollständig und aktuell ist. Geeignete Werkzeuge stehen dazu öffentlich zur Verfügung, darunter dnssec-analyzer.verisignlabs.com und dnsviz.net. Beide Dienste analysieren Delegationen, DS-Records und Signaturlaufzeiten und zeigen Fehler in der Chain of Trust transparent an.

SwissSign weist darauf hin, dass die Aktivierung der Validierung zu leichten Verzögerungen bei der Ausstellung von Zertifikaten führen kann. Grundsätzlich besteht jedoch keine Verpflichtung, DNSSEC zu nutzen. Die neue Prüfung betrifft nur Organisationen, die DNSSEC bereits produktiv nutzen!

Weitere Informationen

Die technischen Details der Vorgaben finden sich im Dokument des CA/B Forums: Ballot SMC014: DNSSEC for CAA.

Weiterlesen

Microsoft 365 Lizenzpakete werden im Juli 2026 aufgewertet!

Viele haben es vielleicht nicht mitbekommen, jedoch hat Microsoft vor einiger Zeit umfassende Ergänzungen für Juli 2026 in ihren "Packagings", also den Lizenzpaketen rund um Microsoft 365, angekündigt. So erhält beispielsweise das beliebte Microsoft 365 Business Premium statt 50 GB nun 100 GB Speicherplatz für das Exchange-Online-Postfach und

Exchange Server 2016/2019/SE RTM Security Updates (Februar 2026)

Microsoft hat zum Februar‑Patchday 2026 wichtige Security Updates (SUs) für mehrere Exchange‑Server‑Versionen veröffentlicht. Die Aktualisierungen beheben u. a. die neu gemeldete Spoofing‑Schwachstelle CVE‑2026‑21527, welche sowohl die Exchange Server Subscription Edition (SE) als auch ältere Versionen (2016/2019) betrifft. Diese Veröffentlichung ist besonders relevant, da

Microsofts neue Souveränitätsstrategie für Europa

In den vergangenen Monaten hat Microsoft seine europäischen Digital- und Souveränitätszusagen deutlich ausgeweitet. Neben bekannten Themen wie Datenresidenz, verschärften Zugriffsmodellen und regionalen Betriebsstrukturen enthält die Ankündigung auch einen Punkt, der in vielen Diskussionen nur am Rande wahrgenommen wird. Die Ablage von Quellcode-Backups in einem geschützten Repository in der Schweiz und

Microsoft 365 wird in Europa günstiger!

Microsoft plant zum 1. Februar 2026 eine umfassende Preisangleichung für seine Commercial-Cloud-Dienste (Local currency price adjustments for Microsoft’s Commercial Cloud). Die Änderungen betreffen mehrere europäische Währungen, darunter Euro, Schweizer Franken und skandinavische Kronen. On‑Premises-Produkte bleiben unverändert, ebenso Azure-Dienste, die unter dem Microsoft Customer Agreement grundsätzlich in US‑Dollar