Ein zentrales Verwaltungstool für Microsoft 365 zeigt seit Tagen Sicherheitswarnungen an – weil Microsoft die Verlängerung des Zertifikats vergaß.
Ausfall des Admin-Tools: Zertifikat abgelaufen
Die Domain connectivity.office.com, die IT-Administratoren zur Überprüfung der Netzwerkanbindung von Microsoft 365 nutzen, löst seit Sonntag Sicherheitswarnungen in gängigen Browsern aus. Der Grund: Das dazugehörige TLS-Zertifikat lief am 14. Juni 2026 ab.
Das betroffene Zertifikat mit einem SHA-256-Fingerabdruck, der mit c52ca2abaff beginnt, wurde von der Microsoft Azure RSA TLS Issuing CA 07 ausgestellt. Es erreichte sein Ablaufdatum am 14. Juni um 08:38 Uhr UTC. Die letzte Verlängerung erfolgte am 16. Dezember 2025 – mit einer Gültigkeitsdauer von 180 Tagen.
Ob abgelaufene Zertifikate oder Schwachstellen in Cloud-Diensten – IT-Sicherheitslücken gefährden den reibungslosen Geschäftsbetrieb massiv. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken proaktiv schließen und aktuelle gesetzliche Anforderungen souverän erfüllen. Gratis-E-Book: IT-Sicherheit ohne teure Investitionen stärken
Bereits am Montag, dem 15. Juni, war die Domain mehr als 35 Stunden lang mit dem abgelaufenen Zertifikat erreichbar. Nutzer von Chromium-basierten Browsern erhielten daraufhin die Fehlermeldung NET::ERR_CERT_DATE_INVALID.
Microsoft hat die Situation gegenüber Branchenbeobachtern zwar eingeräumt, eine offizielle Stellungnahme blieb jedoch bis zum Montag aus. In der IT-Community sorgt der Vorfall für Kopfschütteln: Ausgerechnet Microsoft, das seine Kunden erst kürzlich zur Aktualisierung ihrer Secure-Boot-Zertifikate aufrief, zeigt nun selbst Schwächen im Zertifikatsmanagement. Der Vorfall erinnert an eine Panne aus dem Jahr 2020, als Microsoft Teams aufgrund eines abgelaufenen Authentifizierungszertifikats zeitweise ausfiel.
Branche rüstet auf kürzere Zertifikatslaufzeiten um
Der Verlängerungsfehler kommt zu einem ungünstigen Zeitpunkt. Die IT-Branche bereitet sich auf grundlegende Änderungen im Management von SSL/TLS-Zertifikaten vor.
Bereits am 26. März 2026 traten neue Regeln in Kraft, die die maximale Gültigkeitsdauer von Zertifikaten auf 200 Tage begrenzen. Weitere Verschärfungen stehen bevor: Ab dem 15. März 2027 sollen nur noch 100 Tage erlaubt sein. Branchenanalysten rechnen damit, dass die maximale Laufzeit neuer SSL/TLS-Zertifikate bis 2029 auf nur noch 47 Tage sinken könnte. Die Maßnahmen sollen die Sicherheit erhöhen, setzen Unternehmen aber zunehmend unter Druck, automatisierte Verlängerungsprozesse zu implementieren.
Sicherheitslücke in Microsoft 365 Copilot geschlossen
Parallel zu den Zertifikatsproblemen hat Microsoft Anfang Juni eine kritische Sicherheitslücke in Microsoft 365 Copilot Enterprise geschlossen. Die als CVE-2026-42824 registrierte Schwachstelle mit dem Codenamen „SearchLeak“ wurde am 9. Juni 2026 im Rahmen des monatlichen Update-Zyklus behoben.
Mit der Integration von KI-Systemen wie dem Microsoft Copilot entstehen für Unternehmen nicht nur technische, sondern auch neue rechtliche Risiken durch den EU AI Act. Dieser kostenlose Report klärt auf, welche Pflichten und Risikoklassen Unternehmen jetzt kennen müssen, um rechtlich auf der sicheren Seite zu sein. Umsetzungsleitfaden zur EU-KI-Verordnung kostenlos herunterladen
Forscher von Varonis entdeckten die Angriffskette, die durch Prompt-Injection einen unbefugten Datenabfluss ermöglicht hätte. Die Sicherheitslücke nutzte eine Kombination aus Parameter-to-Prompt-Injection und einer Race-Condition in der HTML-Rendering-Engine aus. Bei erfolgreicher Ausnutzung hätte ein Angreifer sensible Informationen wie E-Mails oder Dateien aus OneDrive und SharePoint abgreifen können – vorausgesetzt, ein Nutzer klickte auf einen speziell präparierten Link. Microsoft bewertete die Schwachstelle als hochkritisch, einige Einschätzungen erreichten sogar den maximalen CVSS-Score von 10,0.
