SSL.de SSL.de

Warum schlägt die Domainvalidierung fehl?

RapidSSL SSL Zertifikate
Sectigo SSL Zertifikate
Thawte SSL Zertifikate
GeoTrust SSL Zertifikate
DigiCert SSL Zertifikate

Warum schlägt die Domainvalidierung fehl?

Eine fehlgeschlagene Domainvalidierung hat fast immer eine konkrete technische Ursache: nicht erreichbare E-Mail-Adresse, falsch abgelegter Validierungs-Token, blockierender DNS-CAA-Record, Caching oder ein abgelaufener Bestätigungslink. Welche Fehlerquelle in Frage kommt, hängt vom gewählten Validierungsverfahren ab.

Die Domain-Validierung kennt drei Verfahren — E-Mail, HTTP und DNS. Die häufigsten Ursachen für Fehlversuche, sortiert nach Verfahren:

Verfahren Häufige Fehlerursache Lösung
E-Mail Keine der fünf zulässigen Adressen (admin, administrator, webmaster, hostmaster, postmaster) eingerichtet Alias anlegen oder auf DNS-/HTTP-Validierung wechseln
E-Mail Bestätigungsmail im Spam-Ordner oder durch Filter abgewiesen Spam prüfen, Absender (z.B. noreply@sectigo.com) freischalten
E-Mail Bestätigungslink abgelaufen Validierung im Kundenbereich neu anstoßen
HTTP Datei nicht unter http://meine-domain.de/.well-known/pki-validation/ erreichbar Verzeichnis und Datei prüfen, kein automatisches Redirect auf HTTPS einrichten
HTTP HTTP-zu-HTTPS-Weiterleitung blockiert die Validierung Ausnahme für /.well-known/pki-validation/ setzen oder DNS-Validierung wählen
HTTP WAF, CDN oder Bot-Schutz blockiert die CA-Anfrage Pfad /.well-known/ in der Firewall freigeben
DNS TXT-Record noch nicht propagiert TTL niedrig setzen (z.B. 60 Sekunden), 5–15 Minuten warten, mit dig prüfen
DNS Falscher Recordname oder zusätzliche Anführungszeichen im Wert Vorgaben der CA exakt übernehmen, Hosting-Panel-Ausgabe per Kommandozeile gegenprüfen
DNS DNSSEC-Konfiguration fehlerhaft DNSSEC-Status mit dig +dnssec prüfen, ggf. mit Provider klären
Alle Verfahren CAA-Record erlaubt die ausstellende CA nicht CAA-Record anpassen oder entfernen — siehe unten

Der CAA-Record ist eine häufig übersehene Ursache. Er legt fest, welche Zertifizierungsstellen für eine Domain überhaupt ausstellen dürfen. Ist die ausgewählte CA dort nicht freigegeben, wird die Validierung selbst bei korrektem Token abgewiesen.

So prüfen Sie den CAA-Record:

dig CAA meine-domain.de

Ein gültiger Eintrag für Sectigo-Zertifikate sähe etwa so aus:

meine-domain.de. IN CAA 0 issue "sectigo.com"

Praktische Schritt-für-Schritt-Diagnose:

  1. Validierungsmethode prüfen: Bei E-Mail die Postfächer und den Spam-Ordner kontrollieren. Bei HTTP die Validierungs-URL im Browser aufrufen — die Datei muss direkt sichtbar sein, ohne Weiterleitung. Bei DNS den Record per dig TXT _acme-challenge.meine-domain.de abfragen.
  2. Caching ausschließen: DNS-Resolver, CDN oder Hosting-Panels cachen oft. Prüfen Sie aus einem unabhängigen Netz oder über einen öffentlichen DNS-Resolver.
  3. CAA-Record prüfen: Wenn keine andere Ursache greift, ist der CAA-Record häufig der nächste Verdächtige. Fehlt der CAA-Record komplett, dürfen alle CAs ausstellen — das ist der unkritische Standard.
  4. Zeit geben: DNS-Propagation und Mail-Zustellung können bis zu 24 Stunden dauern, in den meisten Fällen liegen sie aber unter 15 Minuten.
  5. Methode wechseln: Schlägt eine Methode wiederholt fehl, ist der Wechsel zur DNS-Validierung in der Regel der robusteste Weg — sie funktioniert auch ohne erreichbaren Webserver und ohne eingerichtete E-Mail-Adressen.

Bei wiederkehrenden Fehlversuchen blockieren manche CAs die Domain temporär. Lösen Sie die Validierung in solchen Fällen erst nach Behebung der Ursache erneut aus, statt sie mehrfach hintereinander zu starten.

Fehler & Troubleshooting

Weitere Fragen und Antworten »

SSL Zertifikate

SSL Check

SSL Verschlüsselung

Hilfe und Support

Rechtliches

© 2016-2026 by Gerwan GmbH. Alle Angaben ohne Gewähr.

Alle Preise inkl. MwSt.