Verpflichtende CAA-Überprüfung für S/MIME-Zertifikate ab dem 15. März

(5. 3. 2025) Ab dem 15. März tritt eine neue Verpflichtung für Zertifizierungsstellen, die S/MIME-Zertifikate ausstellen, in Kraft – vor ihrer Ausstellung müssen sie die CAA-Einträge im DNS überprüfen. Diese Änderung gibt Domaininhabern mehr Kontrolle darüber, wer Zertifikate für ihre E-Mail-Kommunikation ausstellen darf.

Ab dem 15. März müssen alle Zertifizierungsstellen (CA), die öffentlich vertrauenswürdige S/MIME-Zertifikate ausstellen, beginnen, die CA Authorization (CAA)-Einträge gemäß den Anforderungen der S/MIME-Basisanforderungen zu überprüfen.

CAA ermöglicht es Domaininhabern zu bestimmen, welche CAs ihre digitalen Zertifikate ausstellen dürfen. Für S/MIME wird im DNS gemäß dem Standard RFC 9495 ein neues „issuemail“-Tag verwendet.

Die Verwendung von CAA ist für Domains optional, aber ab dem 15. März werden öffentliche CAs verpflichtet sein, CAA-Einträge vor der Ausstellung eines S/MIME-Zertifikats zu überprüfen.