Pflichtige CAA-Überprüfung für S/MIME-Zertifikate ab dem 15. März

(5. 3. 2025) Ab dem 15. März tritt eine neue Verpflichtung für Zertifizierungsstellen, die S/MIME-Zertifikate ausstellen, in Kraft – vor deren Ausstellung müssen sie die CAA-Einträge im DNS überprüfen. Diese Änderung gibt Domaininhabern mehr Kontrolle darüber, wer Zertifikate für ihre E-Mail-Kommunikation ausstellen darf.

Ab dem 15. März müssen alle Zertifizierungsstellen (CA), die öffentlich vertrauenswürdige S/MIME-Zertifikate ausstellen, anfangen, die CAA-Einträge gemäß den Anforderungen der S/MIME Baseline Requirements zu überprüfen.

CAA erlaubt es Domaininhabern festzulegen, welche CA ihre digitalen Zertifikate ausstellen können. Für S/MIME wird ein neuer „issuemail“-Tag im DNS gemäß dem Standard RFC 9495 verwendet.

Die Verwendung von CAA ist für Domains optional, aber ab dem 15. März werden öffentliche CA verpflichtet, die CAA-Einträge vor der Ausstellung eines S/MIME-Zertifikats zu überprüfen.