Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Azure bietet eine umfassende verwaltete TLS-Lösung, die in mehrere Microsoft-Dienste integriert ist. Diese Funktionalität umfasst verwaltete TLS-Serverzertifikate für kundeneigene Domänen, die von DigiCert bereitgestellt werden.
Aufgrund der sich entwickelnden Branchencompliancestandards, Sicherheitsanforderungen und PKI-Lebenszyklusänderungen wird dieses Angebot 2025 und 2026 mehrere wichtige Updates durchlaufen, die sich auf Kunden auswirken, die dieses Feature nutzen.
PKI-Updates
Ab Ende 2025 hat Azure begonnen, seine verwaltete TLS-Lösung entsprechend den bevorstehenden Browseranforderungen zu aktualisieren. Diese Änderungen wirken sich auf alle verwalteten TLS-Zertifikate aus, die für die folgenden Azure-Dienste ausgestellt wurden:
- Azure Front Door (AFD) und CDN Classic
- Azure Front Door Standard/Premium-SKU
- Azure-API-Verwaltung
- Azure App Service
- Azure Container Apps – ein Dienst für containerbasierte Anwendungen
- Azure Statische Webanwendungen
Wichtige Änderungen
Dieses Update enthält zwei wichtige Änderungen:
Neue Stamm- und untergeordnete Zertifizierungsstellen (CAs):
- Alle verwalteten TLS-Zertifikate werden von Zertifizierungsstellen (CAs) unter DigiCert Global Root CA zu CAs unter DigiCert Global Root G2 und DigiCert Global Root G3 migriert. Dieser Übergang stellt die Einhaltung der Anforderungen des vertrauenswürdigen Stammprogramms des Browsers sicher.
Entfernung der Client-Authentifizierung EKU
- Diese neuen CAs unterstützen die Clientauthentifizierung nicht gemäß den Anforderungen des vertrauenswürdigen Stammprogramms des Browsers. Alle verwalteten TLS-Zertifikate unter den neuen CAs enthalten nur die Erweiterte Schlüsselverwendung (Server Authentication Extended Key Usage, EKU).
Potenzielle Kundenauswirkungen
Um sich auf die Änderung vorzubereiten, ist es wichtig zu wissen, wie sich die Änderungen potenziell auf Kunden auswirken könnten.
Anheften von Zertifikaten
- Wenn Sie Zertifikate oder öffentliche Schlüssel anheften, müssen Sie Ihre Pinsets aktualisieren, um die neuen Roots und Intermediates aufzunehmen.
- Von statischem Pinning wird aufgrund des Betriebsrisikos dringend abgeraten.
Clientauthentifizierung
- Wenn Ihre Anwendung die Clientauthentifizierungs-EKU in öffentlichen Zertifikaten verwendet, müssen Sie Ihre Konfiguration aktualisieren, um Zertifikate von anderen Zertifizierungsstellen zu verwenden.
- Verwaltete TLS-Zertifikate unterstützen nur die Serverauthentifizierungs-EKU.
Domänenüberprüfung
Ab Ende 2025 wechselt DigiCert zu einer neuen Open-Source-Software(OSS) Domain Control Validation (DCV)-Plattform, die die Transparenz und Rechenschaftspflicht bei Domänenüberprüfungsprozessen verbessern soll. DigiCert unterstützt den DCV-Workflow zur Legacy-CNAME-Delegation nicht mehr für die Domänensteuerungsüberprüfung in den angegebenen Azure-Diensten.
Folglich werden diese Azure Services einen verbesserten Prozess zur Validierung der Domänenkontrolle einführen, der darauf abzielt, die Domänenvalidierung erheblich zu beschleunigen und wichtige Schwachstellen in der Benutzungserfahrung zu beheben.
Diese Änderung hat keine Auswirkungen auf den Standard CNAME DCV-Prozess für DigiCert-Kunden, bei dem die Validierung einen Zufallswert im CNAME-Eintrag verwendet. Nur dieser eine Workflow für die Validierung, der bisher von Microsoft verwendet wurde, wird abgelöst.
Warnung
Kunden, die ihre Konfigurationen nicht aktualisiert haben, um die verwalteten TLS-Änderungen einzuhalten, weisen einen Dienstausfall auf, wenn sie die Konfiguration nicht aktualisieren.
- Ein Ausfall ist garantiert , wenn das aktuelle Zertifikat abläuft.
- Wenn das Zertifikat widerrufen wird, kann ein Ausfall auftreten.
Im Falle eines Widerrufs müssen Zertifikate innerhalb von 24 Stunden widerrufen werden, wie dies von den Basisanforderungen des CA/Browser Forums vorgeschrieben ist, was wenig Zeit zur Reaktion lässt. Kunden sollten ihre Konfigurationen dringend aktualisieren, um Unterbrechungen zu vermeiden.
Häufig gestellte Fragen
F: Wird die Unterstützung für benutzerdefinierte Domänen eingestellt?
Nein. Die Funktion wird in hohem Maße unterstützt und erhält mehrere wichtige Updates, die die Benutzungserfahrung insgesamt verbessern.
Hinweis
AFD classic und CDN Classic SKUs, die sich auf dem Weg zur Abschaffung befinden, werden den Support für das Hinzufügen neuer benutzerdefinierter Domänen abschaffen. Weitere Informationen finden Sie unter Azure Front Door (classic) und Azure CDN von Microsoft Classic SKU beenden die CNAME-basierte Domainvalidierung und die Erstellung neuer Domänen/Profile zum 15. August 2025. Kunden werden empfohlen, verwaltete TLS-Zertifikate mit AFD Standard- und Premium-SKUs für neue benutzerdefinierte Domänen zu verwenden.
F: Was ist die Überprüfung der Domänensteuerung?
Die Domänensteuerungsüberprüfung (Domain Control Validation, DCV) ist ein kritischer Prozess, der verwendet wird, um zu überprüfen, ob eine Entität, die ein TLS/SSL-Zertifikat anfordert, legitime Kontrolle über die im Zertifikat aufgeführten Domänen hat.
F: Wird die CNAME Domain Control-Überprüfung von DigiCert eingestellt?
Nein. Nur diese spezielle CNAME-Validierungsmethode, die es nur bei Azure Services gibt, wird abgesetzt. Die von DigiCert-Kunden verwendete CNAME DCV-Methode, wie z. B. die für DigiCert OV/EV-Zertifikate und DV-Zertifikate beschriebene, ist davon nicht betroffen.
Nur Azure ist von dieser Änderung betroffen.
F: Warum wechselt Microsoft zu den DigiCert Global Root G2- und G3-Zertifizierungsstellen?
Diese Änderung entspricht branchenspezifischen Standards und bevorstehenden Browseranforderungen. Am 15. April 2026 wird Mozilla und Chrome der DigiCert Global Root CA nicht vertrauen. Um vertrauen zu können, werden alle verwalteten TLS-Zertifikate vor diesem Datum zu DigiCert Global Root G2 und DigiCert Global Root G3 verschoben. Weitere Informationen finden Sie unter DigiCert Updates für Stamm- und Zwischenzertifikate 2023.
F: Warum wird die EKU zur Clientauthentifizierung entfernt?
Dies ist eine branchenweite Änderung, die vom vertrauenswürdigen Chrome-Stammprogramm gesteuert wird. Chrome schränkt TLS-Zertifikate auf die Serverauthentifizierung ein, um die Sicherheit und Compliance zu verbessern. Weitere Informationen finden Sie unter Auslaufen der Client-Authentifizierung EKU von DigiCert öffentlichen TLS-Zertifikaten.