Ursache:
Seit 2. Juni 2025 nutzt SECTIGO ein neues CA-Bundle / neue Zwischenzertifikatskette. Dieses muss auf dem Server installiert werden und ein veraltetes Sectigo Root Zertifikat muss deaktiviert/entfernt werden, sonst können manche Clients (zB ältere Androids) dem Zertifikat nicht vertrauen.
Lösung / Downloads:
interssl-sectigo-fix.ps1 für Windows/IIS/Exchange (muss als Administrator ausgeführt werden!)
New_Sectigo_Cross.pdf Anleitung mit manuellen GUI Anweisungen und Erklärungen
CA-Bundle-2025.crt
PowerShell Script als Administrator ausführen
Start → „PowerShell“ → Rechtsklick → „Als Administrator ausführen“
cd "C:\Pfad\zum\Script" .\interssl-sectigo-fix.ps1
oder
cd "$env:USERPROFILE\Downloads" .\interssl-sectigo-fix.ps1
Installation prüfen:
Die Installation unter https://www.ssllabs.com/ssltest prüfen. Im Testergebnis "Certificate Paths" aufklappen. Bei Path 1 und Path 2 darf kein "Extra download" aufscheinen. Pfad 3 ist ein "Legacy Pfad" für sehr, sehr alte Clients (SHA-1 Root) und spielt in der Praxis keine nennenswerte Rolle mehr, kann ignoriert werden.
