Aktualisiert am 16. März 2026: Wir haben die Microsoft 365 Root Certificate Chain Bundles für Worldwide (WWMT) und GCC High / DoD (ITAR) erneut veröffentlicht, nachdem festgestellt wurde, dass in den zuvor veröffentlichten Bundles erforderliche Informationen fehlten. Wenn Sie die in dieser Nachricht beschriebenen Schritte bereits abgeschlossen haben, müssen Sie das aktualisierte Bundle herunterladen und die Zertifikatvertrauensschritte erneut durchführen so bald wie möglich. Ein Versäumnis, der aktualisierten DigiCert Global Root G2-Kette und deren Zwischenstellen zu vertrauen, kann nach dem Beginn der Nichtvertrauensstellung der DigiCert G1-Root durch Anbieter zu Unterbrechungen im E-Mail-Verkehr führen.
Wir wurden darüber informiert, dass einige E-Mail-Anbieter ab dem 15. April der DigiCert G1-Root misstrauen könnten, was zu weitreichenden Auswirkungen im gesamten Ökosystem führen kann. Um sicherzustellen, dass Exchange Online Zertifikate vor diesem Ereignis rotieren kann, müssen Kunden bis zum 22. März (vorher 15. März) der DigiCert Global Root G2-Zertifizierungsstelle vertrauen. Vielen Dank für Ihre Geduld.
[Einführung]
Es könnten Maßnahmen erforderlich sein, um Dienstunterbrechungen zu vermeiden. Zur Aufrechterhaltung sicherer und ununterbrochener E-Mail-Kommunikation mit Exchange Online müssen Organisationen sicherstellen, dass ihre Server und Clients der DigiCert Global Root G2 Certificate Authority (CA) und deren untergeordneten CAs vertrauen.
Organisationen, die eigene Zertifikats-Truststores verwenden, Windows CTL-Updates deaktiviert haben oder ältere Laufzeitumgebungen nutzen, könnten betroffen sein und müssen möglicherweise ihre vertrauenswürdigen Zertifikatsketten aktualisieren.
[Zeitpunkt der Änderung:]
Organisationen müssen die erforderlichen Zertifikatvertrauensupdates vor dem 23. März 2026 (vorher 16. März) abschließen.
[Auswirkungen auf Ihre Organisation:]
Betroffene:
Diese Änderung betrifft alle Organisationen (Worldwide, GCC, GCC‑High, DoD), die:
- E-Mails mit Exchange Online senden oder empfangen und
- entweder:
- Die Funktion zum Windows CTL-Updater deaktiviert haben, die standardmäßig die Certificate Trust List (CTL) herunterlädt.
- Die CTL enthält vertrauenswürdige und nicht vertrauenswürdige Stammzertifikate. Mehr Informationen: Zertifikate und Vertrauen in Windows.
- Dieses Szenario kann zutreffen, wenn Ihre Organisation eigene vertrauenswürdige Root- und Zwischenzertifikate per Gruppenrichtlinie oder über eine umgeleitete Microsoft Automatic Update-URL verwaltet. Mehr Informationen: Vertrauenswürdige Roots und nicht erlaubte Zertifikate in Windows konfigurieren.
- Ob die Windows CTL-Updater-Funktion deaktiviert ist, erkennen Sie durch Überprüfen des Abschnitts Wer muss handeln in dieser Microsoft-Anleitung: Trust DigiCert Global Root G2 Certificate Authority to Avoid Exchange Online Email Disruption.
- Sie ältere oder benutzerdefinierte Anwendungsumgebungen verwenden, z. B.:
- Legacy Java/JDK/JRE Laufzeiten
- Embedded-Systeme und Appliances
- Benutzerdefinierte oder veraltete Linux-Images
- Luft-getrennte Systeme (air-gapped)
- Drittanbieter-E-Mail-Gateways oder Sicherheits-Appliances, die eine Validierung der Zertifikatskette durchführen
Diese Änderung betrifft alle Systeme, die eine vollständige Validierung von Zertifikatsketten gegen Exchange Online durchführen, einschließlich Exchange Server, Sicherheits-Appliances und Drittanbieter-E-Mail-Gateways. Falls Sie E-Mail-Appliances von Drittanbietern verwenden, wenden Sie sich bitte direkt an den Anbieter für Support.
Windows-Systeme mit aktiviertem CTL-Updater (Standardeinstellung) sind nicht betroffen und benötigen keine Maßnahmen.
Folgen bei Nichtbeachtung:
Wenn das DigiCert Global Root G2-Zertifikat oder die erforderlichen Zwischenzertifikate fehlen oder während der TLS-Aushandlung nicht abgerufen werden können:
- Könnten ausgehende E-Mail-Clients:
- Das Senden von E-Mails verweigern, wenn strikte Zertifikatsvalidierung durchgesetzt wird
- Falls erlaubt, auf unverschlüsseltes SMTP zurückfallen
- Eingehende SMTP-Verbindungen von Exchange Online können fehlschlagen oder verzögert werden
- Die Zuverlässigkeit des E-Mail-Verkehrs kann beeinträchtigt werden
- Systeme, die keine aktuellen Zertifikatsketten verwenden, können TLS-Zertifikate von Exchange Online nicht validieren
Wenn Ihre Organisation bereits die aktuellen Office 365-Zertifikatsketten pflegt, sind keine Auswirkungen zu erwarten.
[Vorbereitung und Maßnahmen:]
Erforderliche Schritte:
Falls Ihre Umgebung Windows CTL-Updates deaktiviert hat oder auf ältere/benutzerdefinierte Laufzeitumgebungen setzt, führen Sie die in der Rubrik Was Sie tun müssen beschriebene Maßnahmen durch: Trust DigiCert Global Root G2 Certificate Authority to Avoid Exchange Online Email Disruption
Konkrete Maßnahmen umfassen:
- Prüfen, ob der Windows CTL-Updater in Ihrer Organisation deaktiviert ist.
- Bestätigen, dass SMTP-Server, Sicherheits-Appliances und Gateways der DigiCert Global Root G2 CA und deren untergeordneten CAs voll vertrauen.
- Sicherstellen, dass veraltete oder benutzerdefinierte Laufzeiten (Java, Linux, Embedded-Systeme etc.) die erforderlichen Zertifikate enthalten.
- Kontaktieren Sie den Hersteller Ihrer Drittanbieter-E-Mail-Appliances, wenn dieser die Zertifikatsketten verwaltet.
- Interne Dokumentationen aktualisieren und bei Bedarf Helpdesk-Teams informieren.
Keine Maßnahmen erforderlich, wenn:
- Sie Windows-Systeme mit aktiviertem CTL-Updater (Standardverhalten) verwenden und
- Ihre Organisation bereits den neuesten Office 365-Zertifikatsketten vertraut.
[Compliance-Überlegungen:]
Es wurden keine Compliance-Bedenken festgestellt. Bitte prüfen Sie dies im Zusammenhang mit den Anforderungen Ihrer Organisation.
