Die ACME CAA-Erweiterung wird obligatorisch

26.06.2026 | Petra Alm

Das CA/Browser Forum, ein Zusammenschluss führender Zertifizierungsstellen und Browserhersteller, hat beschlossen, dass ab März 2027 alle Zertifizierungsstellen die ACME-CAA-Erweiterung unterstützen müssen. Dies ist ein wichtiger Schritt hin zu einer sichereren, kryptografisch abgesicherten Domain-Verifizierung und der Ausstellung von TLS/SSL-Zertifikaten. Welche Auswirkungen hat diese Neuerung auf die Zertifikatsausstellung und wie sieht der erweiterte CAA-Eintrag in der Praxis aus?

Wie wurde die Erweiterung des CAA-Eintrags zur Pflicht?

Chrome ist ein langjähriger Befürworter der Automatisierung, und seine Unterstützung ist ein zentrales Thema des sogenannten Root-Programms, in dem Google ab Februar 2026 die Unterstützung von ACME CAA durch die Behörden fordert – mit dem Ziel der Unterstützung der ACME-Automatisierung. Dann hat im Mai 2026 das CA/Browser-Forum in Abstimmung SC-098v2 beschlossen, die Unterstützung des neuen CAA-Eintrags unter den Zertifizierungsstellen zu erweitern, und ab März 2027 verpflichtet alle Behörden zur Unterstützung von ACME CAA vollständig.

Warum war die Änderung notwendig?

Das aktuelle Web-PKI-System ist ausreichend für übliche Anwendungen, wie die Sicherung von Websites, die keinen ernsthaften Bedrohungen ausgesetzt sind. Bedeutende Websites brauchen jedoch einen besseren Schutz während des Zertifikatsprozesses. Obwohl das Web-PKI-Ökosystem seit Jahrzehnten verbessert wird und auf ausgeklügelten Regeln und Kontrollen basiert, stößt es im Wesentlichen auf zwei Probleme, die zwar den gesamten Prozess vereinfachen, jedoch mit geringeren Sicherheitsanforderungen einhergehen:

• Fehlende Authentifizierung des Antragstellers: Jeder auf der Welt kann ein Zertifikat für eine beliebige Domain beantragen. Besteht er den Verifizierungsprozess der Domain, stellt die Behörde das Zertifikat auch ohne Autorisierung durch den Domaininhaber aus.
• Anfälliger Verifizierungsprozess: Zertifizierungsstellen überprüfen bei der Beantragung eines Zertifikats in der Regel das Domain-Eigentum über ungesicherten DNS oder gewöhnlichen HTTP-Verkehr. Jeder, der den Verifizierungsprozess beeinflussen kann, kann die Domain-Verifizierung gefährden und manipulieren.

Wie sieht ein ACME CAA-Eintrag aus?

Die oben genannten Schwächen des Web-PKI können mit der Verwendung des Certification Authority Authorization-Standards oder CAA behoben werden, der so konzipiert ist, dass er Domaininhabern ermöglicht, ihre Richtlinien für die Zertifikatausstellung zu veröffentlichen.

Die grundlegende Version des CAA-Standards ist seit September 2017 verpflichtend. Dieser klassische CAA-Eintrag im DNS erlaubt es nur festzulegen, welche Zertifizierungsstelle (z.B. DigiCert) ein Zertifikat für die betreffende Domain ausstellen darf. Die neue verpflichtende ACME-Erweiterung geht viel weiter und ermöglicht es, sehr detaillierte Bedingungen in den Eintrag aufzunehmen. In der Praxis könnte ein neuer, erweiterter Eintrag beispielsweise folgendermaßen aussehen:

example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"

Links steht der Domainname, für den wir die Ausstellung von Zertifikaten kontrollieren möchten. Rechts befinden sich drei Variablen:

• Die erste ist der Name der CA, die für die betreffende Domain zur Zertifikatsausstellung berechtigt ist.
• Die zweite Variable ist die Anweisung "accounturi", die die Zertifikatsausstellung nur auf das benannte ACME-Konto beschränkt. Da ACME immer Verschlüsselung und starke kryptografische Authentifizierung verwendet, stellt der Teil "accounturi" sicher, dass nur autorisierte Benutzer Zertifikate für diesen Domainnamen anfordern können. Sie können die genaue ID oder URL Ihres ACME-Kontos bei DigiCert definieren. Niemand anders – selbst wenn er einen Teil Ihres Netzwerks kontrollierte – könnte ein Zertifikat unter Ihrem Namen generieren, da die Behörde die Anfrage nur von einem verschlüsselten und kryptografisch geprüften Konto des Inhabers akzeptiert.
• Die dritte Anweisung „validationmethods“ beschränkt die Ausstellung von Zertifikaten auf die Verwendung nur einer auf DNS basierenden Validierungsmethode. Das aktive DNSSEC (seit März 2026 obligatorische Erweiterung) stellt sicher, dass die gesamte Verifizierung ausschließlich kryptografisch sicher erfolgt.

Der obige Eintrag besagt also: Das Zertifikat darf von DigiCert nur für ACME-Konto Nr. 1726001367 und ausschließlich über DNS-Verifizierung ausgestellt werden.

Was bedeutet diese Neuigkeit für Sie?

Die neue Erweiterung muss im nächsten Jahr von allen Marktbehörden eingehalten werden. Danach liegt es nur noch an Ihnen, ob und wann Sie diese fortschrittliche Sicherheitsmaßnahme im DNS konfigurieren.

Quelle: