Die DNS-Validierung ist ein Verfahren, mit dem die Zertifizierungsstelle (CA) prüft, ob der Antragsteller die Kontrolle über eine Domain hat. Dafür wird ein von der CA vorgegebener Wert als TXT- oder CNAME-Record im DNS der Domain hinterlegt und anschließend per DNS-Abfrage verifiziert.
Das Verfahren ist im CA/Browser-Forum unter Method 3.2.2.4.7 (DNS Change) standardisiert und wird von allen öffentlich vertrauten CAs unterstützt. DNS ist neben E-Mail und HTTP eine der drei zulässigen Methoden der Domain-Validierung.
Der Ablauf in vier Schritten:
4f8c2e9a-7b1d-..._acme-challenge.meine-domain.de oder als CNAME-Record an einer von der CA vorgegebenen Stelle ab.Ein typischer TXT-Record sieht so aus:
_acme-challenge.meine-domain.de. IN TXT "4f8c2e9a-7b1d-43e0-9c2a-..."
Die DNS-Validierung hat gegenüber E-Mail- und HTTP-Validierung mehrere praktische Vorteile:
| Vorteil | Erklärung |
|---|---|
| Funktioniert ohne erreichbaren Webserver | Ideal für neue Domains, Migrationen oder interne Server, die noch nicht öffentlich laufen. |
| Verpflichtend für Wildcard-Zertifikate | Für ein Wildcard-Zertifikat wie *.meine-domain.de ist DNS-Validierung die einzig zulässige Methode — E-Mail und HTTP sind hier nicht erlaubt. |
| Vollständig automatisierbar | Über die DNS-APIs gängiger Provider lässt sich das gesamte Verfahren skripten — Standard bei ACME-Clients. |
| Unabhängig von E-Mail-Adressen | Keine Abhängigkeit von admin@, webmaster@ oder dem WHOIS-Kontakt — gerade bei Domains mit aktivem WHOIS-Schutz hilfreich. |
| Granulare Delegation möglich | Per CNAME lässt sich die Validierung an einen separaten DNS-Bereich delegieren — nützlich für Teams, die nur Teilrechte am DNS haben. |
Es gibt auch Einschränkungen, die in der Praxis Zeit kosten können:
Für produktive Setups mit kurzen Zertifikatslaufzeiten ist die DNS-Validierung in Kombination mit einem ACME-Client und einer DNS-API in der Regel die robusteste und am wenigsten fehleranfällige Methode.