Ob Sie eine persönliche Website betreiben oder ein großes Netzwerk mit unzähligen Domains verwalten, eines ist klar: Vertrauen ist im Internet unverzichtbar. Das Zentrum dieses Vertrauens bildet ein Sicherheitsprozess namens Domain Control Validation (DCV), also die Validierung der Domainkontrolle. Dieser Schritt ist entscheidend, um SSL/TLS-Zertifikate erhalten zu können, die zeigen, dass Sie tatsächlich die Kontrolle über die Domain besitzen, die Sie absichern möchten.
DCV spielt eine wichtige Rolle dabei, wie Browser und Benutzer erkennen, welche Websites vertrauenswürdig sind. Ohne sie hätte das Hypertext Transfer Protocol Secure (HTTPS) keinerlei Bedeutung. In diesem Beitrag erklären wir, was DCV ist, wie sie funktioniert, warum sie wichtig ist und wie unser Umgang mit der Domainvalidierung durch neue Industriestandards verändert wird.
Was ist „Domain Control Validation“?
Die Domain Control Validation (DCV) ist ein wichtiger Schritt, der erfolgen muss, bevor eine Zertifizierungsstelle (Certificate Authority, CA), wie beispielsweise GlobalSign, ein SSL/TLS-Zertifikat ausstellen kann. Im Wesentlichen wird dadurch überprüft, ob die Person oder Organisation, die ein Zertifikat beantragt, tatsächlich die Kontrolle über den betreffenden Domainnamen hat.
Dieser Vorgang ist eine wichtige Sicherheitsmaßnahme. Ohne DCV könnte jeder ein Zertifikat für jede beliebige Domain anfordern, was wiederum zur Nachahmung legitimer Websites, zu Datendiebstahl oder Website-Phishing führen kann. DCV hilft, dies zu verhindern, indem diese Zertifikate nur für die tatsächlichen Domainbesitzer bzw. für diejenigen, die diese Domain verwalten, ausgestellt werden.
Funktionsweise der Validierung der Domainkontrolle
Die Validierung der Domainkontrolle kann mit verschiedenen Mitteln erfolgen, die alle von Branchenverbänden wie dem CA/Browser Forum anerkannt sind. Zu den häufigsten Ansätzen gehören:
- E-Mail-basierte Validierung, bei der eine Bestätigungs-E-Mail an eine vorab genehmigte Kontaktadresse gesendet wird, die mit der Domain verknüpft ist (zum Beispiel admin@yourdomain.com).
- DNS-basierte Validierung, bei der ein bestimmter TXT-Eintrag zur DNS-Zone Ihrer Domain hinzugefügt wird, um den Besitz nachzuweisen.
- HTTP-basierte Validierung, bei der eine eindeutige Datei in einem öffentlich zugänglichen Teil Ihrer Website platziert wird, wo sie von der Zertifizierungsstelle abgerufen werden kann.
Jede Methode hat ihre Vorteile. Beispielsweise eignet sich die DNS-basierte Validierung hervorragend für automatisierte Systeme und Headless-Umgebungen, während die E-Mail-Validierung bevorzugt bei einfacheren Setups gewählt wird. Die HTTP-Validierung eignet sich gut für Entwickler und Webadministratoren, die einfachen Zugriff auf ihre Server haben.
Wann und warum Sie DCV benötigen
DCV ist immer erforderlich, wenn ein Zertifikat für eine Domain ausgestellt wird – sei es bei der Erstausstellung oder bei einer Verlängerung. Sie ist auch erforderlich, wenn ein Zertifikat neu ausgestellt, einem Multi-Domain-Zertifikat (SAN) neue Domains hinzugefügt oder eine Wildcard-Domain gesichert werden soll.
Und auch wenn eine Domain bereits validiert wurde, ist diese Validierung nicht für immer gültig. Die CA muss regelmäßig erneut bestätigen, dass Sie weiterhin die Kontrolle über die Domain haben. Das stellt sicher, dass die Zertifikate vertrauenswürdig und aktuell bleiben. Besonders wichtig ist das für große Organisationen, die auf Automatisierung angewiesen sind oder häufige Zertifikatsaktualisierungen durchführen müssen.
Was ist die Wiederverwendungsfrist von Domains und was ändert sich hier?
Sobald eine Domain validiert wurde, kann diese Validierung für einen bestimmten Zeitraum wiederverwendet werden. Das wird als Wiederverwendungsfrist von Domains bezeichnet. Dadurch müssen Domains nicht für jede Zertifikatsanforderung wiederholt validiert werden. Das erleichtert den IT-Teams das Leben und macht die Automatisierung effizienter.
Die Länge dieser Wiederverwendungsfrist ändert sich jedoch. Das CA/Browser-Forum hat im April 2025 den Beschluss SC-70 verabschiedet. Dieser hat zum Inhalt, dass die zulässige Dauer der Domainwiederverwendung schrittweise von 398 Tagen bis 2028 auf nur 10 Tage reduziert wird. Das Ziel ist die Erhöhung der Sicherheit, indem sichergestellt wird, dass die Validierungen genau und aktuell bleiben. Dadurch minimieren sich die potenziellen Risiken durch veraltete Validierungsdaten.
Dieser Wandel wird sich nicht sofort auf alle Organisationen auswirken, aber man sollte darauf vorbereitet sein. Wenn Ihre aktuellen Workflows zur Zertifikatsverwaltung auf langen Wiederverwendungsfristen basieren, müssen diese Abläufe aktualisiert werden. In dieser neuen Umgebung werden Automatisierung und API-gesteuerte Validierung immer wichtiger.
Warum DCV für die Internetsicherheit wichtig ist
Das Vertrauen in HTTPS beginnt mit den Zertifizierungsstellen, die das Vertrauen von Browsern und Betriebssystemen haben. Dieses Vertrauen kann jedoch nur bestehen bleiben, wenn die CAs genau prüfen, wem sie Zertifikate ausstellen. DCV ist ein wichtiger Teil dieses Prozesses. Die Validierung stellt sicher, dass Zertifikate nur an verifizierte Domaininhaber ausgestellt werden und dass Benutzer, die eine sichere Website besuchen, eine Verbindung zu dem gewünschten Unternehmen und nicht zu einem Betrüger herstellen. DCV ist eine wichtige Brücke zwischen dem verwurzelten Vertrauen und den digitalen Identitäten, auf die wir uns täglich verlassen.
Die richtige DCV-Nutzung stellt sicher, dass genau Ihre Domain überprüft wird. Dadurch wird sie seltener das Ziel von Phishing-Angriffen, Domain-Nachahmungen und Man-in-the-Middle-Attacken. Die Möglichkeiten der Nachahmung werden auf die Verwendung ähnlicher, aber grundsätzlich unterschiedlicher Domainnamen beschränkt, die Benutzer in die Irre führen sollen. Gleichzeitig wird verhindert, dass Ihren genauen Domainnamen verwendet werden. All das schützt Endbenutzer, Websitebesitzer und das digitale Ökosystem insgesamt, indem sichergestellt wird, dass nur autorisierte Parteien Domains sichern und vertreten können.
Auch die Integrität von Browser-Trust-Stores wird unterstützt. Browser vertrauen darauf, dass CAs strenge Validierungsverfahren befolgen, und DCV ist ein Teil dieser Vertrauensbasis. Wenn CAs die Domainkontrolle nicht mehr streng validieren, würden HTTPS-Anzeigen (wie das Vorhängeschlosssymbol) bedeutungslos werden.
Die richtige DCV-Nutzung ist wichtiger denn je
Außerhalb der IT- und Sicherheitscliquen wird der Domain Control Validation vielleicht nicht viel Aufmerksamkeit geschenkt, dennoch spielt sie bei der Sicherheit des Internets eine entscheidende Rolle. Ohne DCV würde das Vertrauenssystem, das die sichere Internet-Kommunikation möglich macht, einfach nicht funktionieren.
Da sich die Standards stetig weiterentwickeln und Validierungsfristen kürzer werden, ist es wichtiger denn je, auf dem Laufenden zu bleiben und sicherzustellen, dass Ihre DCV-Prozesse solide sind. Unabhängig davon, ob Sie eine kleine Website betreiben oder Zertifikate in großem Umfang verwalten, ist es wichtig, DCV zu verstehen – und richtig anzuwenden.
Kurze Wiederverwendungsfristen dank Automatisierung besser bewältigen
