Wie funktioniert die Domainvalidierung bei SSL-Zertifikaten?

Bei der Domainvalidierung (DV) prüft die Zertifizierungsstelle (CA), ob der Antragsteller tatsächlich die Kontrolle über die Domain hat, für die das Zertifikat ausgestellt werden soll. Geprüft wird ausschließlich die Domain — nicht der Antragsteller, nicht das Unternehmen dahinter. Auf diesem Verfahren basieren alle DV-Zertifikate.

Der Ablauf ist standardisiert und folgt den Vorgaben des CA/Browser-Forums (Baseline Requirements). Die CA bietet dem Antragsteller dafür drei zugelassene Verfahren zur Auswahl an:

• E-Mail-Validierung: Die CA sendet einen Bestätigungslink an eine vordefinierte Adresse der Domain. Zulässig sind ausschließlich admin@, administrator@, webmaster@, hostmaster@ und postmaster@. Ein Klick auf den Link bestätigt die Kontrolle. Frühere Verfahren über die WHOIS-Kontaktadresse sind seit 2022 nicht mehr zulässig.
• HTTP-Validierung (File-based): Die CA stellt eine Datei mit zufälligem Inhalt bereit, die unter http://meine-domain.de/.well-known/pki-validation/<dateiname>.txt abgelegt wird. Die CA ruft die Datei automatisiert ab und vergleicht den Inhalt.
• DNS-Validierung: Im DNS der Domain wird ein TXT- oder CNAME-Record mit einem von der CA vorgegebenen Wert gesetzt. Die CA prüft den Eintrag per DNS-Abfrage. Diese Methode funktioniert auch dann, wenn der Webserver noch nicht erreichbar ist.

Sobald eines der Verfahren erfolgreich abgeschlossen ist, gilt der sogenannte Domain Control als bestätigt. Die CA stellt das Zertifikat in der Regel innerhalb weniger Minuten aus und verschickt es per E-Mail oder stellt es im Kundenkonto zur Verfügung.

Wichtig zu wissen — die Validierung hat klare Grenzen:

• Es wird nur die Kontrolle über die Domain geprüft, nicht die Identität des Antragstellers.
• Der Firmenname erscheint nicht im Zertifikat. Sichtbar ist nur der Domainname.
• DV-Zertifikate sind technisch genauso sicher verschlüsselt wie OV- oder EV-Zertifikate. Der Unterschied liegt allein in der Identitätsprüfung.
• Seit September 2025 dürfen CAs DV-Validierungen maximal 47 Tage wiederverwenden — bei jeder Neuausstellung ist also gegebenenfalls eine erneute Domain-Prüfung nötig.

Eine Besonderheit gilt für Wildcard-Zertifikate wie *.meine-domain.de: Hier ist die DNS-Validierung verpflichtend, weil über einen TXT-Record im Hauptdomain-Namespace die Kontrolle über alle Subdomains nachgewiesen wird. E-Mail- oder HTTP-Validierung sind in diesem Fall nicht zulässig.

Bei einer Verlängerung läuft der Validierungsprozess identisch ab. Die CA darf eine frühere Validierung nur dann wiederverwenden, wenn sie innerhalb des erlaubten Zeitfensters liegt — andernfalls wird der Nachweis erneut angefordert.