headline: Vertrauen Sie der DigiCert Global Root G2-Zertifizierungsstelle, um Unterbrechungen bei Exchange Online-E-Mails zu vermeiden

Veröffentlicht am

2026

Aktualisiert am

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Um eine Unterbrechung des E-Mail-Dienstes in Exchange Online bis zum 15. März 2026 zu vermeiden, müssen Organisationen der Zertifizierungsstelle DigiCert Global Root G2 vertrauen. Dies betrifft insbesondere Systeme mit deaktivierten Windows CTL-Updates oder älteren/benutzerdefinierten Laufzeitumgebungen. Systeme mit aktivierter Standard-Windows-CTL-Aktualisierung erfordern keine Maßnahmen.

Aktualisiert am 4. Februar 2026: Wir haben den Zeitplan aktualisiert. Wir wurden darüber informiert, dass einige E-Mail-Anbieter der DigiCert G1 Root am 15. April möglicherweise misstrauen, was zu umfangreichen Auswirkungen auf das gesamte Ökosystem führen könnte. Um sicherzustellen, dass Exchange Online Zertifikate vor diesem Ereignis austauschen kann, müssen Kunden die DigiCert Global Root G2-Zertifizierungsstelle bis zum 15. März (zuvor 30. April) vertrauen. Vielen Dank für Ihre Geduld.

[Einführung]

Möglicherweise sind Maßnahmen erforderlich, um Dienstunterbrechungen zu vermeiden. Um einen sicheren und ununterbrochenen Mailfluss mit Exchange Online aufrechtzuerhalten, müssen Organisationen sicherstellen, dass ihre Server und Clients der DigiCert Global Root G2 Certificate Authority (CA) und ihren untergeordneten CAs vertrauen.

Organisationen, die auf benutzerdefinierte Zertifikat-Vertrauensspeicher, deaktivierte Windows CTL-Updates oder ältere Laufzeitumgebungen angewiesen sind, könnten betroffen sein und müssen möglicherweise ihre vertrauenswürdigen Zertifikatketten aktualisieren.

[Zeitpunkt des Ereignisses:]

Organisationen müssen die erforderlichen Zertifikatsvertrauensupdates vor dem 15. März 2026 (zuvor 30. April) abschließen.

[Auswirkung auf Ihre Organisation:]

Betroffene:

Diese Änderung gilt für alle Organisationen (weltweit, GCC, GCC‑High, DoD), die:

E-Mails mit Exchange Online senden oder empfangen und
entweder:

In Ihrer Organisation ist das Windows CTL Updater-Feature deaktiviert, das standardmäßig die Certificate Trust List (CTL) herunterlädt.
- Die CTL enthält vertrauenswürdige und nicht vertrauenswürdige Root-Zertifikate. Weitere Informationen: Certificates and trust in Windows.
- Dieses Szenario kann zutreffen, wenn Ihre Organisation eigene vertrauenswürdige Root- und Zwischenzertifikate über Gruppenrichtlinie oder über eine umgeleitete Microsoft Automatic Update-URL verwaltet. Weitere Informationen: Configure trusted roots and disallowed certificates in Windows.
- Ob das Windows CTL Updater-Feature deaktiviert ist, können Sie anhand des Abschnitts Who needs to take action in dieser Microsoft-Anleitung prüfen: Trust DigiCert Global Root G2 Certificate Authority to Avoid Exchange Online Email Disruption.
oder ältere oder benutzerdefinierte Anwendungsumgebungen verwenden wie:

Legacy Java/JDK/JRE Laufzeitumgebungen
Eingebettete Systeme und Appliances
Benutzerdefinierte oder veraltete Linux-Images
Netzwerke ohne Internetanbindung (Air-gapped-Systeme)
Drittanbieter-E-Mail-Gateways oder Sicherheitsappliances, die Zertifikatkettenvalidierung durchführen

Diese Änderung gilt für jedes System, das eine vollständige Zertifikatkettenvalidierung gegenüber Exchange Online durchführt, einschließlich Exchange Server, Sicherheitsappliances und Drittanbieter-E-Mail-Gateways. Wenn Sie Drittanbieter-E-Mail-Appliances verwenden, wenden Sie sich bitte direkt an deren Support.

Windows-Systeme mit aktiviertem CTL Updater (Standard) benötigen keine Maßnahmen.

Was passiert:

Wenn das DigiCert Global Root G2-Zertifikat oder erforderliche Zwischenzertifikate fehlen oder während der TLS-Verhandlung nicht abgerufen werden können:

Können ausgehende E-Mail-Clients:

Das Senden von E-Mails verweigern, falls eine strikte Zertifikatvalidierung erzwungen wird
Auf unverschlüsseltes SMTP zurückfallen, falls erlaubt

Können eingehende SMTP-Verbindungen von Exchange Online fehlschlagen oder verzögert werden
Kann die Zuverlässigkeit des E-Mail-Flusses reduziert sein
Können Systeme, die keine aktuellen Zertifikatketten verwenden, TLS-Zertifikate von Exchange Online nicht validieren

Wenn Ihre Organisation bereits die aktuellen Office 365-Zertifikatketten verwendet, wird kein Einfluss erwartet.

[Vorbereitende Maßnahmen:]

Erforderliche Maßnahmen:

Wenn in Ihrer Umgebung Windows CTL-Updates deaktiviert sind oder auf ältere/benutzerdefinierte Laufzeitumgebungen gesetzt wird, führen Sie bitte die im Abschnitt What you must do beschriebenen Maßnahmen aus: Trust DigiCert Global Root G2 Certificate Authority to Avoid Exchange Online Email Disruption

Konkrete Maßnahmen umfassen:

Prüfen Sie, ob der Windows CTL Updater in Ihrer Organisation deaktiviert ist.
Stellen Sie sicher, dass SMTP-Server, Sicherheitsappliances und Gateways dem DigiCert Global Root G2 CA und den untergeordneten CAs vollständig vertrauen.
Stellen Sie sicher, dass veraltete oder angepasste Laufzeitumgebungen (Java, Linux, Embedded-Systeme usw.) die erforderlichen Zertifikate enthalten.
Kontaktieren Sie den Hersteller Ihrer Drittanbieter-E-Mail-Appliance, falls dieser Zertifikatketten verwaltet.
Aktualisieren Sie Ihre interne Dokumentation und informieren Sie bei Bedarf Helpdesk-Teams.

Keine Maßnahmen erforderlich, wenn:

Sie Windows-Systeme mit aktiviertem CTL Updater (Standardverhalten) verwenden und
Ihre Organisation bereits den neuesten Office 365-Zertifikatketten vertraut.

[Compliance-Hinweise:]

Es wurden keine Compliance-relevanten Aspekte identifiziert; bitte prüfen Sie dies entsprechend Ihrer Organisation.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >