Pflichtiger Eintrag in Certificate Transparency für alle neuen TLS-Zertifikate

05.06.2026 | Petra Alm

Ab dem 1. Juni 2026 wird DigiCert alle neu ausgestellten öffentlichen TLS-Zertifikate, einschließlich deren erneuter Ausstellung (Reissue), in Certificate-Transparency-Protokollen erfassen. Die neue Maßnahme betrifft alle von der DigiCert-CA ausgestellten Zertifikate, unabhängig von der Art der Validierung (DV, OV, EV, QWAC, PSD2) oder der Marke (DigiCert®, GeoTrust®, Thawte®, RapidSSL®). In diesem Artikel erfahren Sie den Grund für die Änderung und was sie für Sie bedeutet.

Warum ist der Eintrag jetzt verpflichtend?

Auch in diesem Fall können wir hinter der neuen Maßnahme das Unternehmen Google und seinen Browser Chrome sehen. Es fordert, dass alle Zertifizierungsstellen bis zum 15. Juni 2026 beginnen, alle TLS-Zertifikate in mindestens einem Certificate Transparency-Log zu protokollieren. Ziel ist dabei selbstverständlich eine höhere Transparenz von Zertifikaten sowie die Stärkung der Internetsicherheit.

Zur Erinnerung sei erwähnt, dass CT-Protokolle öffentlich überprüfbare Aufzeichnungen über die Ausstellung von Zertifikaten durch alle Zertifizierungsstellen erstellen und es Domaininhabern sowie Browsern dadurch ermöglichen, missbräuchliche oder gefälschte Zertifikate effektiver zu erkennen und somit Man-in-the-Middle-Angriffe zu verhindern. Ein Blick in die Vergangenheit zeigt, dass es bereits mehr als zehn Jahre her ist, dass Google das Logging zunächst für Zertifikate mit erweiterter Validierung (EV) verpflichtend gemacht hat. Nach und nach wurde diese Anforderung auch auf Zertifikate mit Organisationsvalidierung (OV) sowie Domainvalidierung (DV) ausgeweitet.

Bislang war ein Eintrag in einem CT-Protokoll nur dann erforderlich, wenn das Zertifikat für die Verwendung in einem öffentlichen Client bestimmt war. Zertifikate ohne CT-Log funktionierten zwar in Browsern, führten jedoch zu Warnmeldungen über mangelnde Vertrauenswürdigkeit. Ab dem 1. Juni 2026 müssen jedoch alle öffentlichen TLS-Zertifikate unabhängig vom Verwendungszweck über eine CT-Eintrag verfügen.

Wie wirkt sich die Änderung auf Sie aus?

DigiCert zeichnet automatisch alle von ihm ausgestellten öffentlichen TLS-Zertifikate in Certificate-Transparency-Logs für Sie, sodass von Ihrer Seite keine Aktion erforderlich ist. Die Änderung betrifft auch nicht bereits ausgestellte TLS-Zertifikate, die bis zum 1. Juni 2026 außerhalb von CT-Logs gehalten wurden.

Die neu durchgesetzte CT-Erfassung betrifft Sie nur, wenn Sie mit internen Zertifikaten arbeiten, die für den privaten Gebrauch außerhalb von Webbrowserumgebungen bestimmt sind und diese neu ausgestellten Zertifikate (d.h. mit einem Ausstellungsdatum ab dem 1. Juni 2026) auch nach dem 1. Juni 2026 außerhalb öffentlicher CT-Logs halten müssen. Die Lösung ist eine private PKI Infrastruktur, die kein Vertrauen von Browsern erfordert und auf die sich daher die neue Anforderung von Chrome nicht bezieht. Bedenken Sie jedoch, dass PKI nur für Zertifikate geeignet ist, die niemals das Vertrauen von externen Nutzern, Partnern oder öffentlichen Internet-Clients benötigen werden.

Quelle: