Mozilla verschärft die Regeln: Das ändert sich für Ihre Website-Sicherheit

Mozilla verschärft die Regeln: Das ändert sich für Ihre Website-Sicherheit

Jul 04, 2026 ssl certificates web security pki mozilla certificate authorities https tls web hosting compliance dns security

Mozilla Root Store Policy 3.1: Mehr Transparenz für das HTTPS-Rückgrat

Du hast sie bestimmt schon tausendmal gesehen: die kleine grüne Ladeanzeige in deiner Browser-Adressleiste. Was sich dahinter verbirgt, ist das Ergebnis einer ziemlich wichtigen Arbeit von Mozillas Root Store Program. Diese Initiative verwaltet die Liste vertrauenswürdiger Certificate Authorities – kurz CAs – die HTTPS auf dem gesamten Web zum Laufen bringen.

Jetzt hat Mozilla Version 3.1 seiner Root Store Policy vorgestellt. Klingt nach Bürokratie, ist aber deutlich mehr als das.

Der Fokus verschiebt sich

Bisher drehten sich Policy-Updates vor allem um Zertifikatswiderruf und Automatisierung. Wichtige Themen, keine Frage – aber eher technischer Natur. Version 3.1 geht einen anderen Weg.

Statt sich zu fragen, wie man Zertifikate schneller widerrufen kann, stellt Mozilla jetzt eine grundlegendere Frage: Wie können wir überprüfen, ob CAs tatsächlich tun, was sie versprechen?

Und das ist keine Nebensache. Das Web PKI ist das Rückgrat der Websicherheit. Aber seine Zuverlässigkeit hängt davon ab, ob man sehen kann, wie eine CA arbeitet – und ob jemand diese Abläufe unabhängig prüfen kann.

Schluss mit vagem Geschwafel

Ab dem 1. Juli 2026 müssen CAs ihre Dokumentation deutlich aufpolieren. Konkret geht es um Certificate Practice Statements und kombinierte Certificate Policy Dokumente. Die neuen Anforderungen sind:

  • Klar und begrenzt: Keine Wischiwaschi-Sprache oder grenzenlose Haftungsausschlüsse mehr
  • Prüfbar: Die Dokumentation muss so detailliert sein, dass Prüfer die tatsächlichen Abläufe verifizieren können
  • Pflegeaufwand: Versionskontrolle und Erreichbarkeit sorgen für kontinuierliche Verantwortlichkeit

Stell dir den Unterschied zwischen einem Vertrag vor, der sagt „wir geben uns Mühe", und einem, der klare Verantwortlichkeiten, Testverfahren und Erfolgskriterien definiert. Es geht nicht darum, CAs mit Papierkram zu überlasten. Es geht darum, dass Dokumentation tatsächlich etwas aussagt.

Für Unternehmen heißt das: Du kannst dich darauf verlassen, dass dein Zertifikatsanbieter hält, was er öffentlich verspricht. Und Audits deiner eigenen Compliance-Anforderungen verlaufen deutlich smoother.

Detailed Controls Reports: Under the Hood

Die probably wichtigste Änderung sind die Detailed Controls Reports – kurz DCRs. Pflicht werden sie für Prüfperioden ab 1. Juli 2027.

Herkömmliche WebTrust- und ETSI-Audits sind wertvoll, keine Frage. Aber sie geben oft keinen Einblick in die konkreten Controls und Testverfahren, die hinter den Ergebnissen stehen. DCRs ändern das.

CAs müssen künftig dokumentieren:

  • Umfang und Grenzen ihrer CA-Systeme
  • Konkret implementierte Controls
  • Testverfahren und Ergebnisse der Auditoren
  • Gefundene Ausnahmen oder Mängel

Vergleichbar mit dem Unterschied zwischen einer KFZ-Prüfung, die sagt „fahrtauglich", und einer, die Bremsbelagstärke, Reifenprofil und Flüssigkeitsstände aufschlüsselt. Beide könnten bestehen – aber eine gibt dir deutlich mehr Sicherheit darüber, was du wirklich bekommst.

Warum das für dein Business relevant ist

Egal ob du ein Startup betreibst, eine Hosting-Plattform manage oder Anwendungen für sensible Daten baust – diese Änderungen betreffen dich direkt:

Mehr Vertrauen in Zertifikatsanbieter: Wenn deine CA detaillierte Dokumentation und Controls-Reports liefern muss, hast du eine solidere Sicherheitsgrundlage.

Schnelleres Incident Response: Bessere Dokumentation bedeutet schnellere Fehleranalyse, wenn etwas schiefläuft – und mal ehrlich, irgendwas geht immer mal schief, selbst bei den besten CAs.

Einfachere Compliance: Muss dein Business Kunden, Partnern oder Regulierern Sicherheitspraktiken nachweisen? Eine transparentere CA-Landschaft stärkt deine gesamte Compliance-Position.

Weniger Supply Chain Risiko: Das Zertifikats-Ökosystem ist Teil deiner Sicherheits-Lieferkette. Strengere Anforderungen upstream bedeuten ein sichereres Fundament für alle downstream.

Der Blick nach vorn

Mozillas Ankündigung zeigt, dass das Web PKI Governance-Modell erwachsener wird. Statt nur technische Anforderungen aufzulisten, adressieren sie die menschlichen Systeme – Dokumentation, Prüfung, Verantwortungsstrukturen – die technische Sicherheitsmaßnahmen überhaupt erst sinnvoll machen.

Bei NameOcean sehen wir das genauso: Diese Fokussierung auf Transparenz nützt jedem in der Web-Welt. Ob du eine Domain registrierst, SSL-Zertifikate einrichtest oder die nächste Web-Application baust – diese Verbesserungen der Zertifikats-Infrastruktur sorgen dafür, dass das „sicher"-Badge auch wirklich etwas bedeutet.

Die Umsetzungsfristen – 1. Juli 2026 für Policy-Änderungen, 1. Juli 2027 für DCR-Anforderungen – geben CAs ausreichend Zeit zur Anpassung. Für die meisten Website-Betreiber werden die Änderungen unsichtbar bleiben. Einfach ein weiteres vertrauenswürdiges Zertifikat, das still im Hintergrund funktioniert.

Aber hinter diesem kleinen Schloss-Icon werden die Fundamente Stück für Stück stabiler.

Bleib sicher da draußen.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN