{"id":326981,"date":"2026-06-29T17:00:52","date_gmt":"2026-06-29T15:00:52","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326981"},"modified":"2026-06-29T17:10:13","modified_gmt":"2026-06-29T15:10:13","slug":"exchange-online-der-microsoft-support-und-das-ca-1-tls-zertifikatskettendrama","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/29\/exchange-online-der-microsoft-support-und-das-ca-1-tls-zertifikatskettendrama\/","title":{"rendered":"Exchange Online, der Microsoft Support und das CA-1-TLS-Zertifikatskettendrama"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Gmail\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/Mail.jpg\" alt=\"Mail\" align=\"left\" border=\"0\" \/>Ein Blog-Leser hat mich kontaktiert, da er in ein Problem mit TLS-Zertifikaten bei Exchange Online gelaufen ist. Der E-Mail-Versand funktioniert nicht mehr, weil ein Microsoft TLS-Zertifikate abgewiesen wurde. Konkret sieht es so aus, dass das abgelaufene <em>DigiCert Cloud Services CA-1<\/em> weiter von <em>*.mail.protection.outlook.com<\/em> verwendet wird. Das geht aber unter Ubuntu schief, da das CA-1 entfernt wurde. Der Leser versuchte das Problem mittels des Microsoft Supports zu l\u00f6sen, was aber in einem \"TLS-Zertifikatskettendrama\" endete und bis jetzt versandet ist. Es interessiert nun, ob ein Denkfehler, ein Einzelfall oder ein generelles Problem vorliegt.<\/p>\n<p><!--more--><\/p>\n<h2>Eine spezielle E-Mail-Konstellation des Lesers<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/34766f5efa9544f2a26fe09cc92e3f84\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Georg S. hatte mich am Freitag-Nachmittag, den 26. Juni 2026, per E-Mail mit dem Betreff \"<em>Microsoft Support und TLS Zertifikatskettendrama<\/em>\" kontaktiert. Dazu schrieb er mir, dass er mehrere Linux-Systeme\u00a0betreibe, die unter anderem E-Mails per SMTP-Relay \u00fcber Exchange Online Protection (MX-Host <em>*.mail.protection.outlook.com<\/em>, STARTTLS auf Port 25) an Microsoft 365 versenden.\u00a0Dazu schrieb Georg: \"<em>Mir ist bewusst, dass dieser Weg heute nicht mehr die bevorzugte Variante ist, er wird von Microsoft aber weiterhin offiziell unterst\u00fctzt<\/em>.\"<\/p>\n<h3>Mail-Versand pl\u00f6tzlich gest\u00f6rt<\/h3>\n<p>Vor wenigen Tagen stellte der Leser fest, dass der Mailversand pl\u00f6tzlich nicht mehr funktionierte. Ursache war nach der Analyse eine fehlgeschlagene TLS-Zertifikatspr\u00fcfung. Das Problem lie\u00df sich reproduzierbar eingrenzen, denn die von Microsoft bei MX-Host pr\u00e4sentierte TLS-Zertifikatskette lautet aktuell:<\/p>\n<blockquote><p>mail.protection.outlook.com<\/p>\n<ul>\n<li>DigiCert Cloud Services CA-1<\/li>\n<li>DigiCert Global Root CA<\/li>\n<\/ul>\n<\/blockquote>\n<p>Auf einem vollst\u00e4ndig aktualisierten Ubuntu 22.04 (aktuelles ca-certificates-Paket) liefert bereits ein einfacher Test mit der Anweisung:<\/p>\n<pre>openssl s_client -starttls smtp -connect &lt;tenant&gt;.mail.protection.outlook.com:25 -showcerts<\/pre>\n<p>laut Leser Georg das nachfolgende Ergebnis:<\/p>\n<pre>Verify return code: 20 (unable to get local issuer certificate)<\/pre>\n<p>Auff\u00e4llig dabei sei, schrieb Georg, dass das Intermediate <em>DigiCert Cloud Services CA-1<\/em> von <em>DigiCert Global Root CA<\/em> signiert wurde. Die so pr\u00e4sentierte Zertifikatskette verweist somit auf diese Root-Zertifikat.<\/p>\n<h3>Da war doch was mit einer DigiCert-G1-Abl\u00f6sung<\/h3>\n<p>Hier im Blog gibt es den Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2025\/12\/12\/mc1193408-zertifikataenderung-fuer-microsoft-entra-bis-jan-2025\/\">MC1193408: Zertifikat\u00e4nderung f\u00fcr Microsoft Entra bis Jan. 2026<\/a> vom Dezember 2025. Botschaft in kurz: Microsoft wollte im Januar 2026 das DigiCert Global Root G1 in Entra auf das neue DigiCert Global Root G2 umstellen. Administratoren in Unternehmen mussten laut Supportbeitrag sicherstellen, dass dieses neue Zertifikat genutzt wird, weil sonst die Entra-Anmeldung scheitern werde, hie\u00df es von Microsoft. Dort ist also bekannt, dass das DigiCert Global Root G1 zur\u00fcckgezogen ist.<\/p>\n<p>Georg schrieb mir dazu: \"<em>Genau diese Root wurde jedoch im Zuge der DigiCert-G1-Abl\u00f6sung zum 15.04.2026 (siehe <a href=\"https:\/\/knowledge.digicert.com\/general-information\/digicert-root-and-intermediate-ca-certificate-updates-2023\" target=\"_blank\" rel=\"noopener\">DigiCert root and intermediate CA certificate updates 2023<\/a>) als nicht mehr vertrauensw\u00fcrdig markiert<\/em>\". In dieser Folge wurde dieses Root-Zertifikat\u00a0aus den aktuellen Mozilla-Truststores entfernt. Es ist also folglich auch seit kurzem im aktuellen Ubuntu-ca-certificates-Paket nicht mehr enthalten (siehe <a href=\"https:\/\/ubuntuupdates.org\/package\/core\/resolute\/main\/security\/ca-certificates\" target=\"_blank\" rel=\"noopener\">Package \"ca-certificates\"<\/a> unter UbuntuUpdates.org).<\/p>\n<p>Dadurch trat das Problem, dass E-Mails nicht mehr versandt werden konnten, beim Leser erstmals auf. Und dies, obwohl an den betroffenen Systemen selbst keine \u00c4nderungen vorgenommen wurden (abgesehen von der Aktualisierung des Pakets <em>ca-certificates<\/em>).<\/p>\n<h2>Wie sag ich es dem MS-Support?<\/h2>\n<p>Was macht man, wenn man als Microsoft-Kunde in ein solches Problem rauscht? Richtig, man kontaktiert den Microsoft-Support. Denn da sitzen ja Leute, die Ahnung haben &#8211; genau deshalb geht ja alle Welt in die Cloud, um keine eigene Expertise mehr vorhalten zu m\u00fcssen. Microsoft verdient ja Milliarden mit der Cloud und gibt &#8211; so Stimmen aus der Leserschaft &#8211; auch Milliarden aus, dass das alles l\u00e4uft. Die machen inzwischen zwar viel mit KI bei Microsoft, aber der Support m\u00fcsste wissen, was Sache ist.<\/p>\n<h3>Erster Austausch: \"Wir nutzen keine G1-Roots mehr\"<\/h3>\n<p>Der Leser erlebte aber einen anderen Support und schrieb mir dazu: \"<em>Besonders kurios wurde es anschlie\u00dfend im Austausch mit dem Microsoft-Support. Zun\u00e4chst wurde mir erkl\u00e4rt, die EOP-Endpunkte w\u00fcrden keine G1-Roots mehr verwenden und ich erhielt sogar das aktuelle Microsoft-Root-Zertifikatspaket. Darin ist die von mir angesprochene DigiCert Global Root CA lustigerweise auch nicht mehr enthalten<\/em>.\"<\/p>\n<h3>OpenSSL-Ausgabe zeigt G1-Root-Zertifikat<\/h3>\n<p>Also alles in gr\u00fcn? Der Leser hat sich dann die Ausgabe des obigen openssl-Befehls anzeigen lassen. Der Leser schrieb dazu: \"Der OpenSSL-Output des Microsoft-MX-Endpunkts zeigt jedoch eindeutig\":<\/p>\n<pre>Issuer: C=US, O=DigiCert Inc, CN=DigiCert Cloud Services CA-1\r\n\r\nSubject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=mail.protection.outlook.com\r\n\r\nIssuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA\r\n\r\nSubject: C=US, O=DigiCert Inc, CN=DigiCert Cloud Services CA-1<\/pre>\n<p>Die outlook.com-Mails werden eindeutig noch mit dem <em>DigiCert Cloud Services CA-1<\/em> abgesichert.<\/p>\n<h3>Ern\u00fcchternder Austausch mit dem MS-Support<\/h3>\n<p>Als der Leser dann beim Microsoft-Support nachbohrte und mit den obigen Erkenntnissen konfrontierte, erlebte er die n\u00e4chste \u00dcberraschung. O-Ton des Lesers:\u00a0<em>Damit Du eine Vorstellung bekommst, warum ich mich inzwischen an Dich wende, hier zwei Originalzitate aus dem Microsoft-Support<\/em>:<\/p>\n<blockquote><p><em>Nach R\u00fccksprache mit unserem Third-Level-Support m\u00f6chten wir Sie dar\u00fcber informieren, dass die Bereitstellung oder Verwaltung von Betriebssystem-Zertifikaten au\u00dferhalb unseres Supportumfangs liegt. Unser Support konzentriert sich ausschlie\u00dflich auf cloudbezogene Themen.<\/em><\/p><\/blockquote>\n<p>Ich habe mal die Antwort des Microsoft-Supports, den der Leser mir im Original bereitstellte, hier eingef\u00fcgt:<\/p>\n<blockquote><p>Die von Microsoft betriebenen MX-Server sind Teil einer global geteilten Infrastruktur, die Millionen von Postf\u00e4chern weltweit bedient. Die dort angebotenen Cipher Suites werden zentral von den Microsoft-Engineering-Teams festgelegt, um eine gute Balance zwischen hoher Sicherheit und m\u00f6glichst breiter SMTP\u2011Kompatibilit\u00e4t sicherzustellen. Daher ist es leider nicht m\u00f6glich, diese Einstellungen individuell pro Tenant oder \u00fcber den Support anzupassen.<\/p>\n<p>Ich verstehe sehr gut, dass Ihnen ein m\u00f6glichst hohes Sicherheitsniveau wichtig ist. Genau hier kann ich Sie aber beruhigen: F\u00fcr Ihre Dom\u00e4ne ist bereits der bestm\u00f6gliche Schutz aktiv \u2013 n\u00e4mlich die Kombination aus DANE und DNSSEC. Dadurch wird sichergestellt, dass TLS-Verbindungen zwingend verwendet werden und Zertifikate verifiziert sind.<\/p>\n<p>Die \u00e4lteren Cipher Suites, die Sie eventuell sehen, dienen ausschlie\u00dflich als Fallback-Optionen. Sie kommen nur dann zum Einsatz, wenn ein sendender Mailserver keine moderneren, st\u00e4rkeren Verfahren unterst\u00fctzt.<\/p><\/blockquote>\n<p>Der Leser schrieb mir dazu: \"<em>Ich habe den Sachverhalt inzwischen viermal mit allen technischen Nachweisen beschrieben. Die letzte und neueste Antwort von heute ist nun (nach 2 Tagen Wartezeit\u2026) das hier, nachdem ich das bereits in der ersten Meldung dargelegt hatte<\/em>\":<\/p>\n<blockquote><p><em>K\u00f6nnten Sie uns bitte noch kurz mitteilen, <strong>welches System konkret von dem Problem betroffen ist<\/strong> (z.\u202fB. Betriebssystem, Version) und <strong>wie dieses mit Ihrem Microsoft-Tenant in Zusammenhang steht<\/strong>?<\/em><\/p><\/blockquote>\n<p>Mir liegt der gesamte Mail-Austausch mit dem Microsoft Support vor, ich erspare mir aber die Einzelheiten. Der Leser hat in den Mails technisch sehr klar beschrieben, was er f\u00fcr ein Problem hat, was er getestet hat und wo er das Problem sieht. Das ist alles in obigem Text von mir offen gelegt worden.<\/p>\n<p>B\u00f6se Zungen, oder Will Dormann h\u00e4tte geschrieben: \"Kein Wunder, wenn der Mann kein Video einreicht, das zeigt, wo es klemmt, kann Microsoft das nicht verstehen\". Aber das w\u00e4re jetzt unfaire Dialektik, denn beim Thema von Will Dormann geht es um das Microsoft Security Response Center (MSRC) und gemeldete Schwachstellen.<\/p>\n<h2>Das Verhalten ist reproduzierbar, hat jemand eine Erkl\u00e4rung?<\/h2>\n<p>Der Leser schrieb mir, dass er das Verhalten auf drei unabh\u00e4ngigen Ubuntu-22.04-Systemen sowie gegen mehrere verschiedene <em>*.mail.protection.outlook.com<\/em>-Hosts reproduzieren konnte. Damit scheint weder der Tenant noch der Server selbst urs\u00e4chlich zu sein. Das hei\u00dft das Thema d\u00fcrfte also grunds\u00e4tzlich alle Installationen betreffen, die weiterhin per SMTP-Relay \u00fcber Exchange Online Protection arbeiten und eine strikte TLS-Zertifikatspr\u00fcfung durchf\u00fchren.<\/p>\n<p>Zum Vergleich hat der Leser die Zertifikatskette auf demselben System gegen\u00a0 <em>smtp.office365.com:587<\/em> getestet und festgestellt, dass das problemlos (Verify return code: 0) validiert wird. Dort liegt aber korrekterweise <em>DigiCert Global Root G2 <\/em>zugrunde. Das Problem betrifft ausschlie\u00dflich die MX-Hosts <em>*.mail.protection.outlook.com<\/em> auf Port 25, schrieb der Leser.<\/p>\n<p>Im Abschlusssatz merkte Georg an: \"<em>Vielleicht kannst Du das einmal auf einem aktuellen Linux-System nachstellen oder den Sachverhalt aufgreifen. Mich w\u00fcrde vor allem interessieren, ob andere Administratoren dasselbe Verhalten beobachten.<\/em>\" Ich selbst kann da wenig tun, habe keinerlei M365-Tenants. Daher gebe ich die Frage an die Leserschaft weiter. Gibt es einen \"Denkfehler\" in der obigen Beschreibung oder eine Erkl\u00e4rung? Oder l\u00e4sst sich das aus der Leserschaft best\u00e4tigen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Blog-Leser hat mich kontaktiert, da er in ein Problem mit TLS-Zertifikaten bei Exchange Online gelaufen ist. Der E-Mail-Versand funktioniert nicht mehr, weil ein Microsoft TLS-Zertifikate abgewiesen wurde. Konkret sieht es so aus, dass das abgelaufene DigiCert Cloud Services CA-1 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/06\/29\/exchange-online-der-microsoft-support-und-das-ca-1-tls-zertifikatskettendrama\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,8537,426],"tags":[1171,4353,672,24,4328],"class_list":["post-326981","post","type-post","status-publish","format-standard","hentry","category-mail","category-problem","category-sicherheit","tag-cloud","tag-mail","tag-microsoft","tag-problem","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326981"}],"version-history":[{"count":5,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326981\/revisions"}],"predecessor-version":[{"id":326986,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326981\/revisions\/326986"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}