Neue ROOT-Zertifikate
Zertifizierungsstellen reagieren auf neue Anforderungen und Richtlinien von Mozilla und Google und führen neue Root-Zertifikate ein, um diese zu erfüllen und sicherzustellen, dass ihre Zertifikate in Browsern als vertrauenswürdig gelten. Diese Änderungen erfüllen zudem die sich entwickelnden Sicherheitsanforderungen und folgen den Branchenstandards und Regeln des CA/Browser Forums für Root-Zertifikate.
Wenn Sie aktuelle Betriebssysteme und Browser verwenden und auch Ihre Kunden/Besucher Ihrer Website, werden Sie höchstwahrscheinlich keine Änderungen bemerken.
Für ältere oder veraltete Systeme (z. B. ältere Versionen von Android < Version 14) ist es notwendig, sogenannte Cross-Zertifikate auf dem Server zu installieren, um den unterbrechungsfreien und ordnungsgemäßen Betrieb von SSL-Zertifikaten, einschließlich S/MIME-Zertifikaten, sicherzustellen.
Das Cross-Zertifikat wird am Ende der ROOT-Zertifikathierarchie während der Installation in der sogenannten Zertifikatskette (Intermediate-Zertifikate) platziert, die zusammen mit dem ausgestellten Zertifikat auf dem Server installiert wird.
Inhaltsverzeichnis
- CA DigiCert (Thawte, GeoTrust und RapidSSL)
- CA Certum
- CA Sectigo (PositiveSSL)
- FAQ
- Installation von Cross-Zertifikaten auf IIS
CA DigiCert (Thawte, GeoTrust, RapidSSL)
Die Zertifizierungsstelle DigiCert begann bereits 2023 mit der Migration ihrer Root-Zertifikate der zweiten Generation (G2). Informationen zu den Änderungen sind auf der Seite DigiCert root and intermediate CA certificate updates 2023 veröffentlicht.
CA Certum
CA Certum hat am 15. September 2025 neue Root-Zertifikate gemäß den Richtlinien von Mozilla und Google eingeführt. Wichtig ist, dass Zertifikate mit RSA oder elliptischen Kurven (ECC) unterschieden werden. Weitere Informationen veröffentlicht CA Certum auf der Seite Certum implements new Root CAs
CA Sectigo
CA Sectigo begann 2025 mit der Migration öffentlicher Root CAs, konkret im April (EV), Mai (OV) und Juni (DV-Zertifikate, PositiveSSL-Zertifikate). Weitere Informationen sind auf der Seite Sectigo KB - Public Root CAs Migration veröffentlicht.
PositiveSSL-Zertifikate
Damit diese beliebten SSL-Zertifikate auch in älteren Versionen von Betriebssystemen und Browsern als vertrauenswürdig gelten, muss das USERTrust-Cross-Zertifikat zu den Root-Zertifikaten hinzugefügt werden. Falls Sie nicht die vollständige CA-Bundle-Datei haben, können Sie diese hier herunterladen.
Intermediate-Zertifikate in der Datei cabundle-positivessl.txt
(Download):
--- CN: Sectigo Public Server Authentication CA DV R36 Gültig bis: 21. März 2036 --- CN: Sectigo Public Server Authentication Root R46 Gültig bis: 18. Januar 2038 --- CN: USERTrust RSA Certification Authority Gültig bis: 18. Januar 2038 ---
FAQ
Warum sind diese Änderungen notwendig?
Diese Änderungen sind entscheidend, um die Sicherheit und Vertrauenswürdigkeit von SSL/TLS-Zertifikaten gemäß den aktuellen Sicherheitsstandards und -anforderungen zu gewährleisten. Ältere Root-Zertifikate können eine schwächere Sicherheit aufweisen oder neue Anforderungen nicht erfüllen, was zu Kompatibilitäts- und Vertrauensproblemen mit Zertifikaten führen kann.
Was wird empfohlen
- Zertifikatspinning einstellen, falls verwendet
- Die verwendeten Zertifikate aktualisieren
- Ihre Systeme aktualisieren
Was ist Cross-Signing?
Zertifizierungsstellen verwalten häufig mehrere Root-Zertifikate und im Allgemeinen gilt: Je älter das ROOT, desto weiter ist es auf älteren Plattformen verbreitet. Um dies zu nutzen, generieren sie Cross-Zertifikate, um die größtmögliche Unterstützung ihrer Zertifikate zu gewährleisten. Cross-Zertifikat bedeutet, dass ein Root-Zertifikat ein anderes Root-Zertifikat signiert.
Weitere Informationen: Sectigo KB - What is Cross-Signing?
Wo finde ich weitere Informationen
- Google Chrome: Google Chrome Root Program Policy
- Microsoft: Microsoft Trusted Root Program
- Mozilla: Mozilla Root Store Policy
- CA/B Forum: cabforum.org
Installation neuer Root-Zertifikate in Windows-Systemen (IIS)
Neue ROOT-Zertifikate werden regelmäßig über Windows Update hinzugefügt, aber wenn Sie sicherstellen möchten, dass sie installiert sind, können Sie sie manuell herunterladen und installieren. Es kann jedoch manchmal ein Problem mit Website-Zertifikaten auftreten, die mehrere vertrauenswürdige Zertifizierungspfade zu Root-Zertifizierungsstellen haben. Das Website-Zertifikat erscheint dann für Besucher mit älteren Systemen als nicht vertrauenswürdig, was durch ein fehlendes Cross-Zertifikat verursacht wird, das IIS nicht korrekt veröffentlicht.
Die Lösung für IIS-Administratoren finden Sie hier: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.
Wie geht es weiter?
Zurück zur Infozentrum
Fehler gefunden oder etwas nicht verstanden? Schreiben Sie uns!