[Einführung]
Um branchenweite Sicherheitsverbesserungen und moderne kryptographische Standards zu unterstützen, werden Browser und Plattformen, die den Trust-Stores von Mozilla und Chrome folgen, ab dem 15. April 2026 beginnen, dem DigiCert Global Root CA (G1) ihr Vertrauen zu entziehen. Microsoft hat Microsoft 365-Dienste bereits auf neuere, sicherere Zertifikathierarchien migriert (wie DigiCert Global Root G2 und G3).
Wir teilen Ihnen diese Mitteilung mit, damit Sie mögliche unerwartete zertifikatsbezogene Verbindungsprobleme in Einzelfällen schnell erkennen und darauf reagieren können, die durch diese branchenweite Vertrauensänderung entstehen können. Diese Änderung wird durch Updates der branchenweiten Trust-Stores getrieben und stellt keine neue Änderung oder Einführung innerhalb der Microsoft 365-Dienste dar.
[Zeitpunkt]
- 15. April 2026: Branchenweite Entwertung des DigiCert Global Root CA (G1)
- Microsoft-Überwachungszeitraum: 15. April 2026 und danach
[Auswirkungen auf Ihre Organisation]
Wer ist betroffen
- Organisationen, die Microsoft 365-Dienste verwenden über:
- Google Chrome oder Mozilla Firefox
- Linux-basierte Systeme, Container, Appliances oder Software-Stapel, die auf Mozilla/NSS Trust-Stores basieren
- Nur Szenarien, in denen ein Service-Endpunkt weiterhin ein TLS-Zertifikat vorlegt, das auf den DigiCert Global Root CA (G1) zurückführt
Was passieren wird
- Die meisten Kunden werden keine Auswirkungen feststellen.
- In seltenen Legacy-Szenarien:
- können TLS-Verbindungen die Zertifikatsvalidierung nicht bestehen
- Fehler können je nach folgenden Faktoren intermittierend auftreten:
- Client-Betriebssystem-Patchstand
- Browser-Version
- Erneuerungsfrequenz von Container- oder Imageversionen
- Gängige Fehlermeldungen können unter anderem sein:
- NET::ERR_CERT_AUTHORITY_INVALID
- SEC_ERROR_UNKNOWN_ISSUER
- SunCertPathBuilderException
- verify error:num=19:self signed certificate in certificate chain
[Vorbereitungen Ihrerseits]
Es sind keine Maßnahmen erforderlich, wenn Sie keine Zertifikats- oder TLS-Handshake-Fehler feststellen.
Falls Sie ab dem 15. April 2026 Fehler feststellen:
- Überprüfen Sie die Zertifikatskette, die vom fehlerhaften Endpunkt präsentiert wird
- Wenn der DigiCert Global Root CA (G1) erscheint:
- Beenden Sie lokale Debugging- oder wiederholte Fehlerbehebungsversuche
- Sammeln Sie bitte folgende Informationen zur Problemlösung:
- Ziel-URL oder Hostname
- Vollständige Fehlermeldung und Zeitstempel (inklusive Zeitzone)
- Client-Betriebssystem, Version, Browser/Runtime sowie ob es sich um eine VM, Container oder Appliance handelt
- Zertifikatskettennachweis (Protokollausgabe oder Screenshot)
- Wenn der DigiCert Global Root CA (G1) erscheint:
- Kontaktieren Sie Microsoft Support über Ihren üblichen Supportkanal und verweisen Sie auf:
- „15. April 2026 DigiCert Global Root CA (G1) branchenweite Entwertung“
Diese Informationen helfen, Ihr Anliegen direkt an Spezialisten für Zertifikate und TLS weiterzuleiten und unnötige Fehleranalyse zu vermeiden.
[Compliance-Aspekte]
Es wurden keine Compliance-relevanten Aspekte identifiziert. Bitte prüfen Sie dies entsprechend für Ihre Organisation.
