Datenschutz & Sicherheit

Microsoft Entra: Wechsel der Zertifikate – einige Admins müssen nacharbeiten


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Der Identitätsverwaltungs- und Zugriffssteuerungs-Dienst Entra von Microsoft (Identity and Access Management, IAM) setzt bislang auf Zertifikate basierend auf der DigiCert Global Root G1. Nun kündigt der Hersteller an, am 7. Januar 2026 auf neue Zertifikate basierend auf der DigiCert Global Root G2 für den Entra-Dienst zu migrieren. Admins müssen unter Umständen aktiv werden, damit dann keine Authentifizierungsfehler auftreten.

Weiterlesen nach der Anzeige

Das hat Microsoft jetzt im Microsoft-365-Message-Center angekündigt (öffentlich zugreifbare Kopie bei merill.net). Ab dem 7. Januar 2026 will Microsoft die DigiCert-Zertifikate von der G1-Root-CA zur G2-Root-CA migrieren, schreibt das Unternehmen dort. Clients, die mit fest gepinnter DigiCert-G1-Root operieren oder der DigiCert-G2-Root nicht vertrauen, könnten in der Folge Authentifizierungsfehler erzeugen.

Neuer Vertrauensstamm

Die Zertifizierungsstellen (Certificate Authorities, CAs) stellen digitale Zertifikate aus, auf denen das Vertrauen für gesicherte Kommunikation basiert, erklärt Microsoft. Dabei stellt die Root-CA die höchste Ebene in der Vertrauenskette der Zertifikate dar. Derzeit nutzt Microsoft DigiCert Global Root G1 als Root-CA für die Entra-Dienste. Die DigiCert Global Root G2 ist jedoch eine neuere Root-CA, auf die Microsoft für verbesserte Sicherheit und Compliance wechselt. Wenn die genutzten Systeme der G2-Root nicht vertrauen, schlagen Authentifizierungen mit und sichere Verbindungen zu Microsoft-Entra-Diensten fehl.

Für Admins liefert Microsoft zudem eine Liste der betroffenen Domains mit:

  • login.microsoftonline.com
  • login.live.com
  • login.windows.net
  • autologon.microsoftazuread-sso.com
  • graph.windows.net

Weiterlesen nach der Anzeige

Microsoft empfiehlt IT-Verantwortlichen, alle Root- und untergeordnete CAs aus der Azure Certificate Authority als vertrauenswürdig in ihrer IT-Umgebung zu klassifizieren. Insbesondere gilt es sicherzustellen, dass die Systeme der „DigiCert Global Root G2“-Wurzel und untergeordneten Zertifikatsstellen vertrauen. Admins sollten zudem jedwedes Zertifikat-Pinning des „DigiCert Global Root CA“-Root-Zertifikats entfernen. Eine Anleitung zum Zertifikat-Pinning soll dabei helfen.

Ende 2023 hatte Microsoft Zertifikate für Teams Phone ausgewechselt. Trotz Ankündigung im Jahr zuvor waren Admins nicht auf den Wechsel vorbereitet – ein erster Test vorab von Microsoft schlug deshalb fehl. IT-Verantwortliche sollten daher nicht zögern, aktiv zu werden, um sich nicht potenziell aus ihrer IT auszusperren.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen