Kurzer Nachtrag für Administratoren, die für Microsoft Entra-Anwendungen zuständig sind. Microsoft will im Januar 2026 das DigiCert Global Root G1 auf das neue DigiCert Global Root G2 umstellen. Administratoren in Unternehmen müssen sicherstellen, dass dieses neue Zertifikat genutzt wird, weil sonst die Anmeldung scheitert.
Bis zum 7. Januar 2026 wird Microsoft Entra von DigiCert Global Root G1- auf DigiCert Global Root G2-Zertifikate umstellen. Das hat Microsoft zum 9. Dezember 2025 im Support-Beitrag MC1193408 – (Update)Action Required: Trust DigiCert Global Root G2 Certificate Authority for using Entra services by January 7, 2026 bekannt gegeben.
Unternehmen müssen der DigiCert G2-Stammzertifizierungsstelle vertrauen und die Bindung an G1 aufheben. Andernfalls wird es bei Entra-Diensten wie login.microsoftonline.com zu Authentifizierungsfehlern kommen.
Problem: Zertifikat-Pinning
Bei Clients, die die DigiCert G1-Root-Zertifikate fixieren (sprich Zertifikat-Pinning verwenden) oder den DigiCert G2-Root-Zertifikaten nicht vertrauen, kann es zu Authentifizierungsfehlern kommen. Davon sind laut Microsoft die nachfolgenden Domains betroffen:
- login.microsoftonline.com
- login.live.com
- login.windows.net
- autologon.microsoftazuread-sso.com
- graph.windows.net
Administratoren sollen allen Stamm- und untergeordneten Zertifizierungsstellen, die in der Dokumentation zu den Azure-Zertifizierungsstellen aufgeführt sind, vertrauen. Unternehmen sollten sicherstellen, dass der Stammzertifizierungsstelle DigiCert Global Root G2 und ihren untergeordneten Zertifizierungsstellen (dokumentiert seit September 2025) vertraut wird. Administratoren sollten umgehend alle clientseitigen Bindungen an das Stammzertifikat der DigiCert Global Root CA entfernen.
Was sind G1- und G2-Root CAs?
Zertifizierungsstellen (CAs) stellen digitale Zertifikate aus, die Vertrauen für eine sichere Kommunikation schaffen. Eine Stammzertifizierungsstelle ist das oberste Zertifikat in einer Vertrauenskette.
- DigiCert Global Root G1 ist die derzeit von Microsoft Entra-Diensten verwendete Stammzertifizierungsstelle.
- DigiCert Global Root G2 ist die neuere Stammzertifizierungsstelle, auf die Microsoft zur Verbesserung der Sicherheit und Compliance umstellt.
Wenn Systeme der G2-Stammzertifizierungsstelle nicht vertrauen, schlagen die Authentifizierung und sichere Verbindungen zu Microsoft Entra-Diensten fehl. Microsoft empfiehlt Administratoren die Einstellungen umgehend zu aktualisieren, um Störungen zu vermeiden.
MVP: 2013 – 2016
wir haben festgestellt dass die "Nachfolgelösung" HVE für Scan2Mail – infolge der kommenden SMTP Auth Ablösung – auf etlichen Druckern Probleme macht weil das neue Stammzertifikat auf den Geräten fehlt. Da half nur Firmware Upgrade, Zertifikatsprüfung ausschalten oder verschrotten…
Na Na na, nicht so vorschnell. Hast Du da nicht einen kleinen internen SMTP Relay Server nicht vergessen? Der ohne SMTP Auth und meinetwegen auch ohne Verschlüsselung einfach alles von den Druckern entgegen nimmt und an seinen SMTP Smarthost weiterleitet? Wenn alle Drucker sauber in Ihrem eigenen vLAN isoliert sind, ein probates Mittel.
Viel schöner:
https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/
Das ist vor allem deshalb besser, weil es den bevorzugten Weg von MS verwendet.
In der Windows/Microsoft Welt wird nichts passieren. Das Zertifikat ist seit dem 01.08.2013 gültig. Da muss man schon sehr solle an den TrustedRoots gespielt haben, bzw. sie ignoriert haben vor 10 Jahren, wenn man da ein Problem hat.
Das Zertifikats Pinning ist in keinem aktuellen Browser aktiv:
https://de.wikipedia.org/wiki/HTTP_Public_Key_Pinning
[…] Chrome unterstützt HPKP seit Oktober 2015 (Version 46),[4] hat es mit der Version 68 jedoch als „abgekündigt" (deprecated) definiert und entfernte dessen Unterstützung mit der Version 72[5] wieder. Firefox unterstützte HPKP seit Januar 2015 (Version 35), entfernte die Unterstützung jedoch im Januar 2020 mit Version 72.[6] Safari und Edge unterstützten HPKP im Gegensatz zu Opera nicht.[7]