DNSSEC-Fehler blockiert SSL-Verlängerung

Wenn Ihre Website DNSSEC verwendet, könnte eine kürzliche Änderung bei der Validierung von SSL-Zertifikaten dazu führen, dass die Verlängerung Ihres Zertifikats stillschweigend fehlschlägt und Besucher eine Sicherheitswarnung im Browser sehen.

Was ist passiert

Laut dem Sucuri-Blog hat Sucuris Web Application Firewall (WAF) im März 2026 begonnen, CA/Browser Forum Ballot SC-085v2 vollständig zu unterstützen. Seitdem schlagen einige SSL-Zertifikatsverlängerungen für Domains fehl, bei denen DNSSEC nicht korrekt konfiguriert ist.

Das CA/Browser Forum ist das Branchengremium, in dem sich große Zertifizierungsstellen und Browserhersteller auf die Regeln für die Ausstellung von SSL-Zertifikaten einigen. Wenn ein Ballot wie SC-085v2 verabschiedet wird, müssen konforme Zertifizierungsstellen diesen umsetzen. Die Regel ist eindeutig: Wenn eine Domain DNSSEC-Einträge veröffentlicht, muss die gesamte Vertrauenskette validiert werden, bevor ein Zertifikat ausgestellt werden kann. Schlägt diese Validierung fehl, wird die Zertifikatsanfrage abgelehnt.

Warum DNSSEC zu Problemen führen kann

DNSSEC ist eine Sicherheitsfunktion, die den DNS-Einträgen Ihrer Domain kryptografische Signaturen hinzufügt und so vor bestimmten Angriffsarten schützt. Die Aktivierung ist grundsätzlich empfehlenswert. DNSSEC erfordert jedoch laufende Pflege, und eine Fehlkonfiguration kann die Vertrauenskette unterbrechen, deren Überprüfung SC-085v2 nun vorschreibt.

Laut Sucuri sind die häufigsten Fehlkonfigurationen, die zu Fehlern führen:

• Fehlende oder nicht übereinstimmende DS-Einträge beim Domain-Registrar
• Abgelaufene RRSIG-Signaturen
• Fehlgeschlagene Key-Rollovers
• Inkonsistente Antworten zwischen Nameservern
• Zeitabweichungen oder Algorithmus-Inkompatibilitäten

Die zugrunde liegenden DNSSEC-Standards sind in RFC 4033, RFC 4034 und RFC 4035 definiert. Dies sind technische Spezifikationen, aber der praktische Punkt ist einfach: Wenn ein Teil Ihrer DNSSEC-Konfiguration veraltet oder inkonsistent ist, kann die Zertifikatsausstellung blockiert werden.

Was bedeutet das für Ihre Website?

Wenn Sie DNSSEC für Ihre Domain aktiviert haben und Ihr SSL-Zertifikat zur Verlängerung ansteht, sollten Sie prüfen, ob Ihre DNSSEC-Einträge korrekt konfiguriert und aktuell sind, insbesondere die DS-Einträge bei Ihrem Registrar. Eine fehlgeschlagene Verlängerung kann zu einer Browser-Warnung führen, die Besucher davon abhält, Ihrer Website zu vertrauen. Für Websites mit deutschem Impressum gilt: Eine solche Warnung kann das Vertrauen in Ihren Internetauftritt erheblich beeinträchtigen. Praktische Schritte zur Pflege Ihrer Website-Sicherheitseinstellungen finden Sie in unserer Sicherheits-Checkliste für kleine Unternehmen.