Folgende Änderungen ergeben sich bei der Zertifikatsausstellung von Serverzertifikaten über den aktuellen Dienstleister HARICA:
- Ab 02.03.2026:
- Wegfall der Extended Key Usage (EKU) clientAuth in Server-Zertifikaten:
Damit können diese Server-Zertifikate nicht mehr zum Authentisieren (via TLS clientAuth) an anderen Server-Diensten genutzt werden. Betroffen sind u.a. LDAP- und SMTP-Server, die für eine Server-zu-Server-Kommunikation gerne mal eine beidseitige Authentisierung von Server und Client implementieren. Prüfen Sie bei komplexeren Einsatzszenarien, ob Ihr konkretes Software-Produkt im eingesetzten Server-Zertifikat die EKU clientAuth voraussetzt. Wir empfehlen, Zertifikate der DFN-Verein Community-PKI oder einer internen PKI zur Client-Authentisierung zu verwenden. - Wegfall der OCSP-URL in neuen Server-Zertifikaten:
Das ist relevant für Server, die mit OCSP-Stapling konfiguriert sind, sowie für Dienste, die den Sperrstatus von Server-Zertifikaten mittels OCSP abfragen, etwa bei einem für Client-Authentisierung genutzten Server-Zertifikat. Prüfen Sie, ob sich Ihre Software auf OCSP-URLs in Server-Zertifikaten verlässt.
- Wegfall der Extended Key Usage (EKU) clientAuth in Server-Zertifikaten:
- Ab 15.03.2026:
- Verkürzung der Gültigkeitsdauern von neu ausgestellten Server-Zertifikaten auf maximal 200 Tage
- Weitere Roadmap bzgl. Laufzeitverkürzungen von Server-Zertifikaten:
- ab 15.03.27: 100 Tage
- ab 15.03.29: 47 Tage
Die Änderungen ergeben sich Aufgrund von neuen bzw. aktualisierten Anforderungen der Baseline Requirements Dokumente vom CA/Browser-Forum und der Root-Programme von Browser- und Betriebssystemherstellern.
Bei Rückfragen wenden Sie sich gerne an support@luis.uni-hannover.de.