Frühjahrsänderungen bei Root-/Intermediate-Zertifikaten
08.04.2026 | Jindřich Zechmeister
Im Laufe der Monate April und Mai 2026 wird das Vertrauen in ausgewählte Root- und Intermediate-Zertifikate innerhalb des Mozilla- und DigiCert-Ökosystems aufgehoben. Dieser Artikel fasst die Gründe sowie die praktischen Auswirkungen dieser Änderungen zusammen.
In den nächsten zwei Monaten erwarten wir einen doppelten Misstrauensvotum gegen mehrere Root- und Intermediate-Zertifikate (ICA), die eingestellt werden, um mit den Programmen Mozilla Root und Chrome Root kompatibel zu bleiben. Sie müssen sich jedoch keine Sorgen machen, für unsere Kunden bedeutet dies keine Komplikationen.
Mozilla Misstrauen gegenüber G1 Root-Zertifikaten
Mozilla wird ab dem 15.04.2026 mehreren älteren G1 Root-Zertifikaten nicht mehr vertrauen. Der Grund dafür ist nicht deren Kompromittierung, sondern die Tatsache, dass diese G1-Root-Zertifikate (erste Generation) vielseitig waren. Sie wurden nicht nur für die Ausstellung von TLS-Zertifikaten für WebPKI verwendet, sondern auch für andere Produkte wie Document Signing. Mozilla und Google möchten, dass für WebPKI und Browser separate ICA-Zertifikathierarchien verwendet werden, die nicht verschiedene Produkttypen kombinieren.
Insbesondere handelt es sich um folgende Root-Zertifikate:
- DigiCert Assured ID Root CA
- DigiCert Global Root CA
- DigiCert High Assurance EV Root CA
Diese Root-Zertifikate werden in Mozilla-Produkten ab dem 15.04.2026 nicht mehr als vertrauenswürdig angesehen und DigiCert verwendet sie aus Präventionsgründen bereits nicht mehr. Neu ausgestellte Zertifikate verwenden diese Root-Zertifikate nicht mehr, und bestehende Zertifikate bleiben bis zu ihrem Ablaufdatum gültig.
Was bedeutet das für unsere Kunden?
Die meisten Kunden werden dieses Problem nicht einmal bemerken, da ihre Zertifikate mit einem neueren Root-Zertifikat (G2 oder G3) ausgestellt werden. Die Notwendigkeit einer Neuerstellung und des Wechsels des Roots betraf nur eine kleine Gruppe von Nutzern, die noch die oben genannten Roots verwendeten. Diese haben wir individuell benachrichtigt und bei der Neuausstellung unterstützt.
Mai-Revokationen - G3 und G5 ICA-Zertifikate
Am 15.05.2026 widerruft DigiCert mehrere G2- und G3-Intermediate-Zertifikate, jedoch nicht die von ihnen ausgestellten Zertifikate. Diese sollten zur Aufrechterhaltung der Vertrauenswürdigkeit mit neuen Intermediaten neu generiert werden. Ziel der Aktion ist es, separate Intermediaten nur für die Ausstellung von TLS-Zertifikaten vorzusehen.
Am 15. Mai widerrufene ICAs
Für die Ausstellung von TLS-Zertifikaten bestimmte ICA-Zertifikate:
- DigiCert Global CA G2
- DigiCert G2 SMIME RSA4096 SHA384 2024 CA1
Für Code Signing bestimmte ICA-Zertifikate:
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
- DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1
Ebenfalls widerrufen werden zwei cross-signierte G5-Roots, die jedoch normalerweise nicht verwendet wurden:
- G3 Cross-Signed DigiCert TLS ECC P384 Root G5
- G3 Cross-Signed DigiCert CS ECC P384 Root G5
Was bedeutet das für unsere Kunden?
Im Falle dieser am 15.05. vorgenommenen Änderungen können wir direkt feststellen, dass die Auswirkungen auf unsere Kunden absolut null sind und kein Reissue erforderlich ist.
Unsere Empfehlungen für Kunden und Entwickler
Langfristig empfehlen wir, kein sogenanntes Certificate Pinning für Anwendungen und andere Projekte, die Zertifikate nutzen, zu verwenden. Die Vertrauenswürdigkeit des Zertifikats sollte gegenüber seinem Root-Zertifikat und den nachfolgenden Signaturen in der Zertifizierungskette (Chain) überprüft werden, jegliche "harte" Kontrolle der ausstellenden CA ist in Zukunft sehr risikoreich. Sie werden in Ihre Anwendungen einen Mechanismus einführen, der Ihnen später das Leben erschwert, da sich die ICAs einmal definitiv ändern werden.
Die bevorstehenden Änderungen sind ein Beispiel dafür und in Zukunft möchten alle CAs noch häufiger ihre ICA-Zertifikate rotieren und separate Hierarchien für verschiedene Verwendungszwecke erstellen. Darüber hinaus wird sich in den kommenden Jahren der verwendete Algorithmus mit der Einführung von PQC ändern, zuvor noch von Hybrid-Zertifikaten, sodass Änderungen in dieser Richtung unvermeidlich sind. Verwenden Sie anstelle des "CA-Pinnings" andere Kontrollmechanismen, die nicht durch eine mögliche Änderung des Intermediate-Zertifikats beeinträchtigt werden.
Quellen und mehr Informationen
- DigiCert Root- und Intermediate-CA-Zertifikat-Updates 2023
- DigiCert Übergang von multipurpose G2- und G3-Roots zu dedizierten TLS-Root-Hierarchien
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz
