{"id":324619,"date":"2026-05-06T05:20:34","date_gmt":"2026-05-06T03:20:34","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324619"},"modified":"2026-05-06T16:14:02","modified_gmt":"2026-05-06T14:14:02","slug":"ssl-com-rotiert-root-zertifikate-am-5-5-2026-es-hat-gerumpelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/06\/ssl-com-rotiert-root-zertifikate-am-5-5-2026-es-hat-gerumpelt\/","title":{"rendered":"SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt"},"content":{"rendered":"

\"StopIch kippe noch ein Thema hier im Blog ein, was ich am gestrigen 5. Mai 2026 geplant hatte, aber nicht mehr geschafft habe. SSL.com hat am 5.5.2026 seine Root-Zertifikate geplant rotiert. Sollte keine Probleme geben, wenn die betreffenden Stellen ihre Hausaufgaben gemacht haben, hie\u00df es. Wenn ich die Kommentare hier im Blog richtig deute, ist der Austausch der Zertifikate bei einigen Internet-Anbietern bzw. bei der DENIC aber \"irgendwie daneben gegangen\" und es gab Probleme. Die DENIC hat die Nacht, nach einer Gro\u00dfst\u00f6rung, einen Incident-Report er\u00f6ffnet, weil viele Seiten standen. Ich zeichne mal nach, was bei mir liegen geblieben und dann die Nacht passiert ist. Ich interpretiere die beiden oben angerissenen Punkte als zusammenh\u00e4ngend – mag mich aber t\u00e4uschen.<\/s> Erg\u00e4nzung:<\/strong> Hab mich get\u00e4uscht, waren zwei unabh\u00e4ngige Fehler – bei der DENIC ist ein DNSSEC ZSK-Rollover fehlgeschlagen. DENIC hat Zonendaten mit dem ZSK-Schl\u00fcssel Keytag 33834 signiert, aber nicht als DNSKEY-Eintrag ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

SSL.com rotiert am 5.5.2026 Root-Zertifikate<\/h2>\n

\"\"Mir ist am 5. Mai 2026 am Nachmittag der nachfolgende Tweet<\/a> des SANS-Institute (Internet Storm Center) zur SSL.com Zertifikatsrotation untergekommen. Es hei\u00dft dort \"SSL.com wechselt heute sein Stammzertifikat\" – die Details werden hier beschrieben<\/a>.<\/p>\n

\"SSL.com<\/a><\/p>\n

Jemand wurde gem\u00e4\u00df obigem Text informiert, dass das Root-Zertifikat von SSL.com<\/em> rotiert (also ausgetauscht werde). Musste irgendwann in der Nacht vom 5. auf den 6. Mai 2026 in Deutschland wirksam werden.<\/p>\n

Ich hatte den SANS-Beitrag<\/a> (siehe auch nachfolgenden Auszug) kurz \u00fcberflogen und die folgende Aussagen mitgenommen:<\/p>\n

Das ist f\u00fcr eine Zertifizierungsstelle ganz normaler Tagesgesch\u00e4ft, aber Zertifikate werden f\u00fcr alle m\u00f6glichen Zwecke verwendet, und manchmal werden sie nicht so eingesetzt, wie sie sollten, sodass es gelegentlich zu kleinen Problemen kommen kann. <\/em>Wenn du sie nur f\u00fcr einfache Zertifikate und Websites nutzt, brauchst du dir keine Sorgen zu machen. Wenn Sie jedoch \u00fcber diese grundlegende Implementierung hinausgehen, sollten Sie die Mitteilung lesen, um sicherzustellen, dass diese \u00c4nderung keine Auswirkungen auf Ihre Dienste hat<\/em>.<\/p><\/blockquote>\n

Ist also Tagesgesch\u00e4ft, hie\u00df es, es sollte keine Probleme geben, au\u00dfer die oben genannten Spezialit\u00e4ten treffen zu. Nachfolgend noch der Original-Text des SANS-Beitrags:<\/p>\n

I just got an email from SSL.com last night, they are rotating \u00a0out their root certificate today (May 5,2026). \u00a0This is normal, business as usual stuff for a CA, but certificates get used for all kinds of things, and sometimes they aren't used like they should be, so sometimes hiccups happen.<\/p>\n

If you are using them for basic cert+website stuff, there's no need to worry.\u00a0 But if you go past that basic implementation, you should read their note to make sure that this change won't be affecting any of your services.\u00a0 Even if you don't use ssl.com, it's a good read, as every certificate expires, which means that everyone's root cert rotates out eventually – so forewarned if forearmed and all that ..<\/p>\n

In particular (from the email):<\/p>\n