Aktion erforderlich: Vertrauen Sie den neuen DigiCert-Zertifizierungsstellen (CAs) für Microsoft Entra
Ab dem 7. Januar 2026 wird Microsoft Entra seine DigiCert-Zertifikate vom G1 Root CA auf den G2 Root CA migrieren. Clients, die den DigiCert G1 Root pinnen oder den DigiCert G2 Root nicht vertrauen, können Authentifizierungsfehler erleben.
Was sind G1 und G2 Root CAs?
Zertifizierungsstellen (CAs) stellen digitale Zertifikate aus, die Vertrauen für sichere Kommunikation schaffen. Ein Root CA ist das oberste Zertifikat in einer Vertrauenskette. DigiCert Global Root G1 ist derzeit die von Microsoft Entra-Diensten verwendete Root CA. DigiCert Global Root G2 ist die neuere Root CA, auf die Microsoft für verbesserte Sicherheit und Compliance migriert. Wenn Ihre Systeme dem G2 Root nicht vertrauen, schlagen Authentifizierungen und sichere Verbindungen zu Microsoft Entra-Diensten fehl.
Warum Sie diese Nachricht erhalten:
Unsere Auswertung zeigt, dass ein oder mehrere Benutzer in Ihrer Organisation Microsoft Entra ID verwenden könnten.
Wann dies geschieht:
Am 7. Januar 2026.
Wie sich dies auf Ihre Organisation auswirkt:
- Wer betroffen ist: Organisationen, die Microsoft Entra ID-Dienste nutzen.
- Was passieren wird:
- Wenn DigiCert G2-Zertifikate nicht vertrauenswürdig sind, treten Authentifizierungsfehler beim Zugriff auf Microsoft Entra-Dienste auf.
- Betroffene Domains sind:
- login.live.com
- login.windows.net
- autologon.microsoftazuread-sso.com
- graph.windows.net
- Hinweis: Die Domain login.microsoftonline.com wurde bereits im Februar 2025 auf DigiCert G2 migriert. Kunden, die diese Domain verwenden, sind nicht betroffen, da deren Clients DigiCert G2 bereits vertrauen.
Was Sie zur Vorbereitung tun können:
- Vertrauen Sie allen Root- und Subordinate-CAs, die in der Dokumentation zu Azure Certificate Authority Details aufgeführt sind.
- Stellen Sie sicher, dass Sie dem \"DigiCert Global Root G2\" Root und seinen untergeordneten CAs vertrauen (seit September 2025 dokumentiert).
- Entfernen Sie jegliches clientseitige Pinnen des DigiCert Global Root CA Stammzertifikats.
- Aktualisieren Sie Ihre Einstellungen jetzt, um Dienstunterbrechungen zu vermeiden.
Hilfe und Support:
- Details zu DigiCert-Zertifikaten finden Sie in der DigiCert-Dokumentation.
- Für Hinweise zum Thema Issuer-/Zertifikatspinning siehe die Azure-Dokumentation.
- Erhalten Sie Antworten von Community-Experten auf Microsoft Q&A.
- Wenn Sie einen Support-Plan haben und technische Hilfe benötigen, erstellen Sie eine Support-Anfrage.
Compliance-Aspekte:
Keine Compliance-Aspekte identifiziert, bitte überprüfen Sie entsprechend den Anforderungen Ihrer Organisation.
