• Information

Ende der TLS-Client-Authentifizierungszertifikate

Ab sofort dürfen öffentliche CAs (Certification Authorities, also Zertifizierungsstellen) in TLS-Zertifikaten nicht mehr gleichzeitig die Extended Key Usages (EKU) id-kp-clientAuth und id-kp-serverAuth verwenden. Wer diese Regel nicht beachtet, wird künftig nicht mehr im Chrome Root-Programm berücksichtigt und erscheint somit nicht mehr im Trust Store. Wir informieren darüber, wer betroffen ist und was Sie jetzt tun sollten.

24.10.2025|zuletzt aktualisiert:09.01.2026

Immer mehr CAs stellen keine TLS-Zertifikate mit der EKU für die Client-Authentifizierung mehr aus. Das bedeutet: Kunden können ihre bisher verwendeten, „normalen“ TLS-Zertifikate nicht länger für die Client-Authentifizierung einsetzen.

In der Praxis führt dies dazu, dass sich Systeme nicht mehr per TLS-Client-Auth-Zertifikat gegenüber anderen E-Mail-Servern – etwa Exchange Online – authentifizieren können.

Kunden mit automatischer Zertifikatsgenerierung über NoSpamProxy – neue Lösung

Sowohl NoSpamProxy Cloud-Kunden als auch NoSpamProxy Server-Kunden, die die automatische Zertifikatsgenerierung für O365 über NoSpamProxy verwenden, befinden sich aktuell in einer Schonfrist bis Mai 2026.

NoSpamProxy bezieht seine TLS-Client-Authentifizierungszertifikate für O365 über Let’s Encrypt. Let’s Encrypt hat für diese Übergangsphase ein spezielles Profil bereitgestellt, das es ermöglicht, reine TLS-Client-Auth-Zertifikate anzufordern.

Wir haben sichergestellt, dass wir bei Let’s Encrypt dieses Übergangsprofil verwenden. Zudem haben wir eine dauerhafte und kundenfreundliche Lösung entwickelt, so dass das Profil nun auch ohne EKU funktioniert.

Optionen für Kunden ohne automatische Zertifikatsgenerierung über NoSpamProxy

Alle Kunden, die ihre O365-Zertifikate nicht automatisch über NoSpamProxy beziehen oder in eigenen Konnektoren auf TLS-Client-Authentifizierung angewiesen sind, sollten prüfen, welche der folgenden Optionen für sie in Frage kommt:

  • TLS-Client-Authentifizierung weiterhin nutzen, sofern dies notwendig ist,
  • auf IP-Filterung umstellen,
  • eine CA finden, die neben „normalen“ TLS-Server-Zertifikaten auch einzelne TLS-Client-Auth-Zertifikate ausstellt, und diese erwerben, oder
  • eine private CA einrichten, um die benötigten Zertifikate selbst auszustellen.

Wichtiger Hinweis für Exchange-Online-Kunden

NoSpamProxy verwendet standardmäßig die TLS-Client-Authentifizierung für die Verbindung zu Exchange Online. Wenn eigene Zertifikate eingesetzt werden, müssen diese von einer vertrauenswürdigen CA stammen – andernfalls akzeptiert Microsoft sie nicht.

Sollte dies nicht möglich sein, empfiehlt es sich, die Konnektoren auf IP-basierte Filterung umzustellen. Dies ist derzeit die einzige direkt verfügbare Alternative in Exchange Online.

Sie können unsere automatische Zertifikatsgenerierung nutzen oder ein neues, eigenes Zertifikat ohne EKU verwenden.

Sie haben Fragen oder benötigen Unterstützung?

Im NoSpamProxy Forum finden Sie einen expliziten Thread zu diesem Thema. Nutzen Sie diesen für Rückfragen oder Anregungen.

Zum Thread im NoSpamProxy Forum
Whaling-Angriffe erklärt: So zielen Cyberkriminelle auf FührungskräfteWhaling-Angriffe erklärt: So zielen Cyberkriminelle auf Führungskräfte 800x800Intelligentes Greylisting mit NoSpamProxy 800x800Intelligentes Greylisting mit NoSpamProxy