Verkaufsabteilung: +48 789 594 102
Schreiben Sie unsLive Chat WissensbasisBlog
Kundenlogin

Änderungen in der WHOIS-basierten SSL-Zertifikatvalidierung: Was Sie 2025 wissen müssen?

SSL
13 Februar 2025  in Nachricht, Sicherheit

Domain-Inhaberschaftsprüfung (Domain Control Validation, DCV) ist ein entscheidender Schritt im Prozess der Ausstellung von SSL/TLS-Zertifikaten, unabhängig vom Validierungsgrad (DV, OV oder EV).

Seit Jahren basieren viele DCV-Methoden auf dem WHOIS-System, das Kontaktdaten der Domaininhaber bereitstellte. Aufgrund zunehmender Sicherheitsbedrohungen und sich ändernder Branchenstandards werden WHOIS-basierte Methoden jedoch schrittweise eingestellt. In diesem Artikel werden wir die Gründe für die bevorstehenden Änderungen, den Zeitplan für deren Einführung, alternative Validierungsmethoden und die Auswirkungen dieser Änderung auf den SSL-Zertifikatsausstellungsprozess erläutern.

Traditionell basierte die Validierung von DV-Zertifikaten (Domain Validation) unter anderem auf der Gewinnung von Kontaktdaten aus der WHOIS-Datenbank. Dadurch konnte die Zertifizierungsstelle (CA) automatisch eine Verifizierungsnachricht an die aus der WHOIS-Datenbank abgerufene E-Mail-Adresse senden – meist an Adressen wie webmaster@, admin@ oder hostmaster@. Diese Methode war wegen ihrer Automatisierung und Geschwindigkeit beliebt, aber ihre Wirksamkeit wird in der heutigen Zeit zunehmend in Frage gestellt.

Warum wird WHOIS eingestellt?

  1. Unzureichende Aktualität der Daten – viele WHOIS-Einträge enthalten veraltete Informationen, was eine zuverlässige Überprüfung erschwert.
  2. Anfälligkeit für Missbrauch – Betrüger können WHOIS-Daten manipulieren, um Zertifikate für Domains zu erhalten, über die sie keine Kontrolle haben.
  3. Datenschutzbestimmungen – die Einführung der DSGVO und ähnlicher Regelungen hat den Zugang zu öffentlichen Kontaktdaten in WHOIS eingeschränkt, was ihre Nutzung im DCV-Prozess erschwert.

Diese Faktoren haben dazu geführt, dass das CA/Browser Forum – die Organisation, die Zertifizierungspraktiken standardisiert – beschlossen hat, WHOIS-Methoden bis zum 15. Juli 2025 vollständig einzustellen.

Zeitplan der Änderungen

Wichtige Termine für Administratoren und Organisationen:

  • 15. Januar 2025 – Einstellung der Unterstützung für WHOIS-basierte Validierung bei .nl-Domains (Sectigo) und manuellen WHOIS-Abfragen (DigiCert).
  • 8. Mai 2025 – DigiCert akzeptiert keine neuen WHOIS-Validierungen mehr.
  • 15. Juni 2025 – Sectigo stellt die WHOIS-Unterstützung vollständig ein.
  • 8. Juli 2025 – DigiCert stellt die Wiederverwendung bestehender WHOIS-Validierungen ein.
  • 15. Juli 2025 – Letzter Termin für die Abschaffung von WHOIS bei allen Zertifikatsausstellern (CAs).

Diese Maßnahme zielt darauf ab, das Risiko falscher Domain-Validierungen zu minimieren und das allgemeine Sicherheitsniveau im Prozess der Ausstellung von SSL-Zertifikaten zu erhöhen.

Auswirkungen der Änderungen auf Zertifizierungsstellen und Domaininhaber

Für Zertifizierungsstellen (CAs) und Website-Betreiber bedeuten die bevorstehenden Änderungen, dass Validierungsverfahren angepasst werden müssen. Konkret bedeutet dies:

  • Für CAs: Es wird notwendig sein, auf automatische Skripte zur Abfrage von WHOIS-Daten zu verzichten und Validierungsmechanismen einzuführen, die auf einer direkten Bestätigung der Domainkontrolle per E-Mail, DNS-TXT-Einträgen oder auf dem Server abgelegten Dateien basieren.
  • Für Domaininhaber: Wenn bei früheren Zertifikatsbestellungen WHOIS-basierte Validierung verwendet wurde, sollten Sie sich darauf vorbereiten, die Validierungsmethode bei zukünftigen Ausstellungen oder Erneuerungen zu ändern. Die einfachste Lösung besteht darin, die Validierung über vordefinierte E-Mail-Adressen zu nutzen oder den entsprechenden TXT-Eintrag in der DNS-Zone hinzuzufügen.

Alternative Methoden zur Domainvalidierung

Um Unterbrechungen bei der Zertifikatsausstellung zu vermeiden, wird empfohlen, auf die folgenden Methoden umzusteigen:

E-Mail-Validierung von vordefinierten Adressen
  • Adressen wie admin@domena.pl oder webmaster@domena.pl werden als autorisiert anerkannt.
  • Die Verifizierungsnachricht wird direkt an diese Postfächer gesendet, was das Risiko minimiert, dass Dritte die Kontrolle übernehmen.
DNS-TXT-Einträge
  • In der DNS-Zone der Domain wird ein eindeutiger TXT-Eintrag hinzugefügt, der von der CA bereitgestellt wird.
  • Beispiel: _dns-challenge.example.com. IN TXT "ssl-verification=abc123def456"
  • Diese Methode gilt als die sicherste, da sie den Zugang zum DNS-Panel erfordert.
Dateibasierte Validierung (HTTP/HTTPS)
  • Auf dem Server wird eine Datei im Pfad /.well-known/pki-validation/ abgelegt, die einen eindeutigen Token enthält.
  • Beispiel: http://example.com/.well-known/pki-validation/8593532A8FA01E6CEBB0B7E85E510D0F.txt
  • Die Datei muss über HTTP/HTTPS ohne Weiterleitungen zugänglich sein. Diese Methode ist für Wildcard-Zertifikate nicht verfügbar.
Konstrukturierte E-Mail-Adressen
  • Eine neue Methode, bei der die Verifizierungs-E-Mail-Adresse basierend auf DNS-Einträgen generiert wird (z. B. contact@domena.pl, verbunden mit einem TXT-Eintrag).

Wie bereitet man sich auf die Änderungen vor?

  • Aktualisierung der Validierungsprozesse – Überprüfen Sie Ihre bestehenden Zertifikate und stellen Sie sicher, dass neue Bestellungen Methoden verwenden, die nicht auf WHOIS basieren.
  • Überwachung der Fristen – Verfolgen Sie die Zeitpläne der einzelnen CAs (z. B. DigiCert, Sectigo) und aktualisieren Sie Ihre Domains vor den wichtigen Terminen.
  • Schulung des Teams – Schulen Sie Ihre Administratoren in den neuen DCV-Methoden, insbesondere in der Konfiguration von DNS-Einträgen und Validierungsdateien.

Die Änderungen bei der WHOIS-basierten Validierung von SSL-Zertifikaten sind nicht nur eine Reaktion auf erkannte Bedrohungen, sondern auch Teil eines globalen Trends zur Erhöhung der Internetsicherheit. Die Abschaffung von Methoden, die auf WHOIS-Daten basieren – die manipulationsanfällig sind und durch Datenschutzbestimmungen eingeschränkt werden – zwingt zu zuverlässigeren Validierungsmethoden, wie etwa der E-Mail-, DNS- oder dateibasierten Validierung. Die Umsetzung dieser Lösungen bereits ab Anfang 2025 wird sicherstellen, dass der Prozess der SSL-Zertifikatsausstellung widerstandsfähiger gegenüber Angriffen ist und den neuesten Sicherheitsstandards entspricht. Indem sich Website-Betreiber und CAs auf diese Änderungen vorbereiten, sollten sie ihre Validierungsprozesse jetzt anpassen. Dadurch erhöhen sie nicht nur die Sicherheit ihrer Websites, sondern stärken auch das Vertrauen der Nutzer in ihre Dienste – was in Zeiten immer strengerer Sicherheitsanforderungen von entscheidender Bedeutung ist.

Haben Sie Fragen zu dieser Änderung? Kontaktieren Sie unsere Verkaufsabteilung für weitere Informationen.