SSLmentor

Hochwertige TLS/SSL-Zertifikate für Websites und Internetprojekte.

new roots

new roots

Neue ROOT-Zertifikate

Zertifizierungsstellen reagieren auf neue Anforderungen und Richtlinien von Mozilla und Google und führen neue Root-Zertifikate ein, um diese zu erfüllen und sicherzustellen, dass ihre Zertifikate in Browsern als vertrauenswürdig gelten. Diese Änderungen erfüllen zudem die sich entwickelnden Sicherheitsanforderungen und folgen den Branchenstandards und Regeln des CA/Browser Forums für Root-Zertifikate.

Wenn Sie aktuelle Betriebssysteme und Browser verwenden und auch Ihre Kunden/Besucher Ihrer Website, werden Sie höchstwahrscheinlich keine Änderungen bemerken.
Für ältere oder veraltete Systeme (z. B. ältere Versionen von Android < Version 14) ist es notwendig, sogenannte Cross-Zertifikate auf dem Server zu installieren, um den unterbrechungsfreien und ordnungsgemäßen Betrieb von SSL-Zertifikaten, einschließlich S/MIME-Zertifikaten, sicherzustellen.
Das Cross-Zertifikat wird am Ende der ROOT-Zertifikathierarchie während der Installation in der sogenannten Zertifikatskette (Intermediate-Zertifikate) platziert, die zusammen mit dem ausgestellten Zertifikat auf dem Server installiert wird.

CA DigiCert (Thawte, GeoTrust, RapidSSL)

Die Zertifizierungsstelle DigiCert begann bereits 2023 mit der Migration ihrer Root-Zertifikate der zweiten Generation (G2). Informationen zu den Änderungen sind auf der Seite DigiCert root and intermediate CA certificate updates 2023 veröffentlicht.

CA Certum

CA Certum hat am 15. September 2025 neue Root-Zertifikate gemäß den Richtlinien von Mozilla und Google eingeführt. Wichtig ist, dass Zertifikate mit RSA oder elliptischen Kurven (ECC) unterschieden werden. Weitere Informationen veröffentlicht CA Certum auf der Seite Certum implements new Root CAs

CA Sectigo

CA Sectigo begann 2025 mit der Migration öffentlicher Root CAs, konkret im April (EV), Mai (OV) und Juni (DV-Zertifikate, PositiveSSL-Zertifikate). Weitere Informationen sind auf der Seite Sectigo KB - Public Root CAs Migration veröffentlicht.

PositiveSSL-Zertifikate

Damit diese beliebten SSL-Zertifikate auch in älteren Versionen von Betriebssystemen und Browsern als vertrauenswürdig gelten, muss das USERTrust-Cross-Zertifikat zu den Root-Zertifikaten hinzugefügt werden. Falls Sie nicht die vollständige CA-Bundle-Datei haben, können Sie diese hier herunterladen.

Intermediate-Zertifikate in der Datei cabundle-positivessl.txt (Download):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Gültig bis: 21. März 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Gültig bis: 18. Januar 2038
            ---
            CN: USERTrust RSA Certification Authority
            Gültig bis: 18. Januar 2038
            ---
        

FAQ

Warum sind diese Änderungen notwendig?

Diese Änderungen sind entscheidend, um die Sicherheit und Vertrauenswürdigkeit von SSL/TLS-Zertifikaten gemäß den aktuellen Sicherheitsstandards und -anforderungen zu gewährleisten. Ältere Root-Zertifikate können eine schwächere Sicherheit aufweisen oder neue Anforderungen nicht erfüllen, was zu Kompatibilitäts- und Vertrauensproblemen mit Zertifikaten führen kann.

Was wird empfohlen

  • Zertifikatspinning einstellen, falls verwendet
  • Die verwendeten Zertifikate aktualisieren
  • Ihre Systeme aktualisieren

Was ist Cross-Signing?

Zertifizierungsstellen verwalten häufig mehrere Root-Zertifikate und im Allgemeinen gilt: Je älter das ROOT, desto weiter ist es auf älteren Plattformen verbreitet. Um dies zu nutzen, generieren sie Cross-Zertifikate, um die größtmögliche Unterstützung ihrer Zertifikate zu gewährleisten. Cross-Zertifikat bedeutet, dass ein Root-Zertifikat ein anderes Root-Zertifikat signiert.
Weitere Informationen: Sectigo KB - What is Cross-Signing?

Wo finde ich weitere Informationen

Installation neuer Root-Zertifikate in Windows-Systemen (IIS)

Neue ROOT-Zertifikate werden regelmäßig über Windows Update hinzugefügt, aber wenn Sie sicherstellen möchten, dass sie installiert sind, können Sie sie manuell herunterladen und installieren. Es kann jedoch manchmal ein Problem mit Website-Zertifikaten auftreten, die mehrere vertrauenswürdige Zertifizierungspfade zu Root-Zertifizierungsstellen haben. Das Website-Zertifikat erscheint dann für Besucher mit älteren Systemen als nicht vertrauenswürdig, was durch ein fehlendes Cross-Zertifikat verursacht wird, das IIS nicht korrekt veröffentlicht.
Die Lösung für IIS-Administratoren finden Sie hier: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

Zurück zur Infozentrum
Fehler gefunden oder etwas nicht verstanden? Schreiben Sie uns!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum