SucheSupportKostenloser Test
Kontakt
Sectigo Blog

Verstehen von persistenten DCV- und DNS-Konnektoren: Vereinfachung der Domänenvalidierung im großen Maßstab

Da die Lebensdauer von Zertifikaten immer kürzer wird, muss die Art und Weise, wie Unternehmen die Domain-Validierung verwalten, angepasst werden. Persistent DCV und die erweiterte DNS-Connector-Unterstützung in Sectigo Certificate Manager sind so konzipiert, dass dieser Übergang in jeder Größenordnung zu bewältigen ist.

28. Mai 20268 Min. Lesezeit

Der Wandel in der Branche beschleunigt sich

Die TLS-Branche durchläuft derzeit eine der bedeutendsten betrieblichen Umstellungen seit Jahren. CA/Browser Forum-Mandate verkürzen die Gültigkeitsdauer von Zertifikaten und verschärfen die Wiederverwendungsfenster für die Domain Control Validation (DCV). Für Unternehmen, die Zertifikate in großem Umfang verwalten, ist dies ein großes Problem für die nahe Zukunft.

Der Übergang zu 47-tägigen Zertifikatslebenszyklen wird die Denkweise von Teams in Bezug auf Erneuerung und Validierung grundlegend verändern. Was früher eine jährliche Aufgabe war, wird zu einem kontinuierlichen Arbeitsablauf. Unternehmen, die sich auf manuelle DNS-Updates und Ad-hoc-Erneuerungsprozesse verlassen, werden mit dem Inkrafttreten dieser Änderungen zunehmend unter Druck geraten.

Der Druck ist ungleichmäßig verteilt. Unternehmen, die große Zertifikatsbestände, komplexe SAN-Zertifikate und Wildcard-Domains verwalten, bekommen ihn zuerst zu spüren. Die betriebliche Realität ist jedoch in allen Bereichen klar: Die manuelle Verwaltung von Zertifikaten wird den Anforderungen kürzerer Lebenszyklen nicht gerecht.

Sectigo hilft seinen Kunden, diese Herausforderung zu meistern. Durch die Unterstützung von Persistent DCV im Sectigo Certificate Manager (SCM) in Kombination mit einer erheblich erweiterten Reihe von DNS-Connector-Integrationen können Teams mit dem Aufbau automatisierungsfähiger Workflows beginnen, bevor diese Änderungen zwingend erforderlich werden.

Was ändert sich? Der neue Zeitplan

Das CA/Browser Forum hat einen klaren Zeitplan festgelegt: DCV-Nachweise werden häufiger ablaufen, und die Zertifikate müssen in viel kürzeren Zyklen erneuert werden. Für Teams, die sich derzeit auf gelegentliche DNS-Aktualisierungen in Verbindung mit jährlichen Erneuerungen verlassen, geht die Rechnung nicht mehr auf.

Der kumulative Effekt: Teams, die heute Erneuerungen manuell durchführen, müssen die gleichen Aufgaben fünf- bis achtmal häufiger erledigen. DNS-Koordinierung, Genehmigungen durch das Änderungsmanagement und die Validierung pro Erneuerung häufen sich schnell an, was sowohl den Betrieb beeinträchtigt als auch ein echtes Ausfallrisiko darstellt.

Was ist persistentes DCV?

Persistent DCV ist ein neuer Ansatz für die DNS-basierte Domain-Validierung, der es überflüssig macht, DNS-TXT-Datensätze bei jedem Verlängerungszyklus neu zu erstellen und zu aktualisieren. Anstatt für jedes Validierungsereignis einen temporären Datensatz bereitzustellen, veröffentlicht eine Organisation einmalig einen einzigen persistenten TXT-Datensatz. Die Zertifizierungsstelle führt dann automatisch wiederkehrende Validierungsprüfungen anhand dieses Eintrags durch, ohne dass weitere DNS-Eingriffe erforderlich sind. Im Folgenden werden die Unterschiede Schritt für Schritt erläutert:

Traditionelles DCV:

  1. Installieren Sie den DNS-Connector in Ihrer Umgebung
  2. Zertifikat anfordern
  3. Temporären TXT-Eintrag hinzufügen
  4. Überprüfen Sie
  5. Datensatz entfernen/aktualisieren
  6. Wiederholen Sie den Vorgang in 100 oder 47 Tagen

Dauerhaftes DCV:

  1. Einmaligen persistenten TXT-Datensatz veröffentlichen
  2. CA führt automatisch wiederkehrende Validierungsprüfungen durch
  3. Erneuern Sie Zertifikate kontinuierlich ohne wiederholte DNS-Änderungen

Warum das CA/Browser Forum persistentes DCV eingeführt hat

Die persistente DNS-TXT-Validierungsmethode wurde durch SC088 eingeführt, eine von Sectigo gesponserte Abstimmung im CA/Browser Forum. Die Abstimmung ergab sich aus direktem Kundenfeedback: Da die Häufigkeit der Zertifikatserneuerungen zunahm, wurde die operative Belastung durch wiederholte DCV-Updates für Unternehmensteams untragbar.

Die Unterstützung von Sectigo für SC088 spiegelt ein breiteres Engagement für die Gestaltung von Standards wider, die ein Gleichgewicht zwischen starken Sicherheitsgarantien und betrieblicher Praktikabilität herstellen. Persistent DCV verringert nicht die Strenge der Überprüfung der Domaininhaberschaft. Es ändert lediglich den Zeitpunkt und die Art und Weise, wie diese Überprüfung durchgeführt wird, indem von ereignisgesteuerten Prüfungen zu einer kontinuierlichen, automatisierten Validierung übergegangen wird.

Das CA/Browser Forum hat erkannt, dass die immer kürzer werdenden Lebensdauern von Zertifikaten ein skalierbares Automatisierungsmodell erfordern. Persistent DCV ist die Antwort der Branche auf diese Anforderung auf der Validierungsebene.

Warum persistentes DCV für Unternehmensteams wichtig ist

Der Unternehmenskontext ist hier wichtig. Große Unternehmen verwalten nicht nur eine Handvoll Zertifikate. Sie verwalten Tausende von Zertifikaten, oft in Umgebungen, die verschiedenen Teams gehören, die verschiedene DNS-Provider verwenden und für die Änderungsmanagement-Richtlinien gelten, die bei jeder Aktualisierung eine Vorlaufzeit vorsehen.

Zu den üblichen Herausforderungen, mit denen Teams heute konfrontiert sind, gehören:

  • Große Zertifikatsbestände, die mehrere Umgebungen umfassen
  • SAN-Zertifikate, die mehrere Domänen zusammenfassen und eine koordinierte Validierung erfordern
  • Komplexität von Wildcard-Zertifikaten und verschärfte Kontrolle bei kürzeren Lebenszyklen
  • Aufteilung der DNS-Verantwortung auf Infrastruktur-, Netzwerk- und Plattform-Teams
  • Änderungsmanagementprozesse, die DNS-Aktualisierungen um Tage oder Wochen verzögern
  • Ausfallrisiko, wenn DCV-Datensätze ablaufen, bevor die Erneuerung abgeschlossen ist

Persistent DCV behebt jedes dieser Probleme direkt:

  • Geringerer betrieblicher Aufwand: Eliminiert den wiederkehrenden DNS-Aktualisierungszyklus für etablierte Domains
  • Geringeres Ausfallrisiko: Beseitigt den Fehlermodus, dass abgelaufene DCV-Datensätze zu fehlgeschlagenen Erneuerungen führen
  • Bessere Skalierbarkeit: Unterstützt die Automatisierung von Zertifikaten in großem Umfang ohne anteilige DNS-Arbeit
  • Stärkere Bereitschaft zur Automatisierung: Angleichung der Domain-Validierung an 47-tägige und kürzere Zertifikatszyklen
  • Vereinfachte Compliance: Erleichtert die Aufrechterhaltung und den Nachweis der kontinuierlichen Validierungsbereitschaft

Der Ansatz von Sectigo: Persistente DCV- und DNS-Konnektoren im SCM

Sectigo Certificate Manager unterstützt jetzt sowohl persistente DNS-TXT-Datensätze für die fortlaufende DCV-Automatisierung als auch eine erheblich erweiterte Bibliothek von DNS-Konnektoren. Zusammengenommen adressieren diese Funktionen die beiden Hauptebenen der DNS-Validierungsherausforderung: welche Methode verwendet wird und wie die DNS-Änderungen ausgeführt werden.

Persistente DCV in SCM

Die Unterstützung von SCM für persistentes DCV ermöglicht es Teams,:

  • Veröffentlichung von persistenten TXT-Einträgen für verwaltete Domains
  • Automatisierte wiederkehrende Validierung ohne zusätzliche DNS-Änderungenzu ermöglichen
  • Verringerung der Abhängigkeit von der manuellen DNS-Koordination zum Zeitpunkt der Erneuerung
  • Anpassung der Validierungsworkflows an die betrieblichen Anforderungen kürzerer Zertifikatslebenszyklen

Dies ist Teil des umfassenderen Scalable DCV-Ansatzes von Sectigo: Die Domain-Validierung wird als koordiniertes, automatisiertes System behandelt und nicht als einmalige Aufgabe bei jedem Erneuerungsereignis.

Erweiterte Unterstützung für DNS-Konnektoren

In Situationen, in denen DNS-Änderungen erforderlich sind (einschließlich der Ersteinrichtung von persistenten Einträgen oder der Verwaltung neuer Domains), automatisieren die DNS-Konnektoren des SCM die Ausführung dieser Änderungen direkt von der Plattform aus.

DNS-Konnektoren im SCM stellen eine direkte Verbindung zu Ihrem DNS-Anbieter her und ermöglichen es dem SCM, DNS-TXT-Record-Challenges in Ihrem Namen automatisch zu erstellen und zu validieren. Anstatt die manuelle Koordination zwischen Zertifikatsteams und DNS-Administratoren zu erfordern, wickelt der Konnektor die DNS-Interaktion programmatisch ab, wodurch menschliche Berührungspunkte und die damit verbundenen Verzögerungen entfallen.

Sectigo erweitert regelmäßig die DNS-Connector-Unterstützung, um eine breite Palette von Anbietern abzudecken. Die aktuellste Abdeckung ist hier aufgeführt.

Diese breite Abdeckung spiegelt das bewusste Bestreben wider, Unternehmen dort zu erreichen, wo ihre DNS-Infrastruktur angesiedelt ist, sei es bei einem großen Cloud-Anbieter, einer spezialisierten DNS-Plattform für Unternehmen oder einer selbst gehosteten Umgebung. Die LEGO-Integrationsschicht geht noch einen Schritt weiter und macht die DNS-Automatisierung von SCM über eine einzige Connector-Architektur für mehr als 100 DNS-Anbieter zugänglich.

Wie die beiden Funktionen zusammenarbeiten

Persistent DCV und DNS-Konnektoren ergänzen sich, sind aber nicht austauschbar. Persistent DCV reduziert die Abhängigkeit von DNS-Änderungen während des Erneuerungszyklus. DNS-Konnektoren automatisieren die DNS-Änderungen, die weiterhin notwendig sind, einschließlich der Veröffentlichung des ersten persistenten Eintrags. Zusammen bieten sie den Teams zwei Hebel, um die manuelle DNS-Arbeit zu reduzieren:

  • Wo persistente Einträge verwendet werden können, entfallen die DNS-Kontaktpunkte während der Erneuerung vollständig
  • Wo DNS-Änderungen noch erforderlich sind, automatisieren Konnektoren die Ausführung ohne manuelle Koordination.

Der Nettoeffekt ist ein Validierungs-Workflow, der sich sauber skalieren lässt, wenn das Zertifikatsvolumen und die Erneuerungshäufigkeit steigen.

Was Kunden jetzt tun sollten

Das Zeitfenster für die Vorbereitung ist offen, aber es wird immer kleiner. Unternehmen, die jetzt mit der Umstellung beginnen, sind besser aufgestellt, wenn die verbindlichen Fristen kommen. Empfohlene Schritte:

  • Inventarisieren Sie Ihren Zertifikatsbestand: Identifizieren Sie öffentliche TLS-Zertifikate, die nach dem 15. März 2026 ablaufen, und bewerten Sie, welche Domänen für ein dauerhaftes DCV in Frage kommen.
  • Überprüfen Sie bestehende DCV-Datensätze: Identifizieren Sie klebrige oder alternde DCV-Datensätze, die sich dem Ablaufdatum ihrer Wiederverwendung nähern, um Erneuerungsfehler zu vermeiden.
  • Priorisieren Sie SAN- und Wildcard-Domänen: Diese sind mit dem höchsten Koordinationsaufwand verbunden und sind unter dem Zeitdruck am empfindlichsten für den Betrieb.
  • Veröffentlichen Sie persistente TXT-Datensätze: Beginnen Sie jetzt mit der Umstellung etablierter Domains auf persistentes DCV, bevor die zunehmende Erneuerungshäufigkeit dies in großem Umfang erfordert.
  • Führen Sie die Automatisierung umfassend ein: Nutzen Sie die automatisierten, wiederkehrenden Validierungs-Workflows und Lebenszyklus-Automatisierungsfunktionen des SCM, um manuelle Eingriffe im gesamten Zertifikatsbestand zu reduzieren.

Ein Blick in die Zukunft: Vorbereitungen für 47-Tage-Zertifikate

Der Übergang zu 47-tägigen Zertifikatslebenszyklen wird ein grundlegend anderes Betriebsmodell erfordern. Die Unternehmen, die diese Umstellung reibungslos bewältigen werden, sind diejenigen, die bereits die entsprechende Automatisierungsinfrastruktur aufgebaut haben, und nicht diejenigen, die versuchen, den Rückstand aufzuholen, wenn die neuen Fristen kommen.

Persistent DCV ist ein wichtiger Schritt in diese Richtung. Es eliminiert eine bedeutende Quelle manueller Arbeit aus dem Erneuerungszyklus, reduziert eine häufige Kategorie von Ausfallrisiken und richtet die Domain-Validierung an den Betriebsrhythmen aus, die kürzere Lebenszyklen erfordern. In Kombination mit der erweiterten DNS-Connector-Bibliothek von SCM bietet sie Teams einen praktischen Weg zur Automatisierung der letzten Meile ihrer Zertifikats-Workflows.

Die manuelle Verwaltung von Zertifikaten mit maschinell gesteuerten Erneuerungsintervallen ist keine langfristige Strategie. Die Unternehmen, die jetzt in eine automatisierte, wiederholbare Validierungsinfrastruktur investieren, sind für die kommende betriebliche Realität am besten gerüstet.

Starten Sie jetzt

Persistent DCV und DNS-Connector-Unterstützung sind in Sectigo Certificate Manager ab sofort verfügbar. Um mehr zu erfahren oder die Umstellung zu beginnen:

  • Wenden Sie sich an Ihren Sectigo-Vertreter, um Ihren Zertifikatsbestand und die Bereitschaftsbewertung zu besprechen
  • Untersuchen Sie die persistente DCV-Konfiguration im SCM und ermitteln Sie, welche Domänen zuerst umgestellt werden sollen.
  • Prüfen Sie die verfügbaren DNS-Konnektoren im SCM unter Integrationen > DNS-Konnektoren, um die richtige Integration für Ihre Umgebung zu finden
  • Planen Sie eine Bereitschaftsbewertung, um eine nach Prioritäten geordnete Automatisierungs-Roadmap zu erstellen, bevor kürzere Lebenszyklus-Mandate in Kraft treten

Persistent DCV unterstützt Unternehmen bei der Vereinfachung der Domain-Validierung und bereitet sie gleichzeitig auf den Übergang der Branche zu drastisch kürzeren Zertifikatslebenszyklen vor. Durch die Reduzierung sich wiederholender DNS-Updates und die Ermöglichung einer kontinuierlichen Validierungsbereitschaft unterstützt Sectigo Certificate Manager Unternehmen bei der Modernisierung des Zertifikatsbetriebs, bevor diese Änderungen obligatorisch werden.