Das Ende der Multipurpose-Zertifikate: Was sich in der Zertifikatsbranche verändert

Multipurpose-Zertifikate stehen vor dem Aus: Die Zertifikatsbranche befindet sich aktuell in einem tiefgreifenden Wandel. Kürzere Laufzeiten, strengere Compliance-Vorgaben und neue Sicherheitsanforderungen prägen bereits seit einiger Zeit die Entwicklung digitaler Zertifikate.

Browserhersteller wie Google und Mozilla treiben diese Entwicklung aktiv voran. Ihr Ziel ist klar definiert: Mehr Sicherheit durch eine konsequente Trennung von Zertifikatszwecken. Doch was bedeutet das konkret für Unternehmen, IT-Abteilungen und bestehende PKI-Strukturen? In diesem Beitrag erfahren Sie, welche PKI-Änderungen 2026 relevant sind und wie Sie sich optimal vorbereiten.

Was sind Multipurpose Roots und Intermediates?

Multipurpose-Zertifikate – häufig auch als Multipurpose Roots oder Multipurpose Intermediates bezeichnet – sind Zertifikate innerhalb einer Public Key Infrastructure (PKI), die für mehrere Einsatzzwecke gleichzeitig genutzt werden können. In klassischen Zertifikatshierarchien war dies lange Zeit gängige Praxis.

Ein solches Zertifikat konnte beispielsweise gleichzeitig für die Absicherung von Webseiten per TLS/SSL und für die Client-Authentifizierung eingesetzt werden. S/MIME-Zertifikate wurden zum Beispiel neben der Verschlüsselung von E-Mails für das Signieren von Dokumenten eingesetzt. Diese Praxis galt lange als effizient, da sie die Komplexität der Infrastruktur reduzierte und die Verwaltung vereinfachte.

Mit zunehmenden Sicherheitsanforderungen zeigt sich jedoch, dass genau diese Mehrfachverwendung problematisch ist. Denn wenn ein einzelnes Zertifikat kompromittiert wird, sind im schlimmsten Fall gleich mehrere sicherheitskritische Anwendungsbereiche betroffen. Dadurch steigt nicht nur das Risiko erheblich, sondern auch die Komplexität bei der Nachverfolgung und Behebung von Sicherheitsvorfällen.

Hinzu kommt, dass die Kontrolle und Auditierung solcher Strukturen deutlich schwieriger sind. Die fehlende klare Trennung erschwert es Unternehmen, Compliance-Vorgaben einzuhalten und Sicherheitsrichtlinien eindeutig umzusetzen.

Warum werden Multipurpose-Zertifikate abgeschafft?

Die Abschaffung von Multipurpose-Zertifikaten ist kein kurzfristiger Trend, sondern eine gezielte Maßnahme zur Verbesserung der Sicherheit und Standardisierung innerhalb der Zertifikatsbranche.

Ein wesentlicher Treiber sind die Root-Programme großer Browserhersteller wie Google Chrome und Mozilla. Diese fordern zunehmend klare und eindeutige Zertifikatsstrukturen. Ziel ist es, die Verwendung von Zertifikaten strikt auf einen definierten Zweck zu beschränken und damit potenzielle Risiken zu minimieren.

Die wichtigsten Gründe zusammengefasst:

Sicherheit steigern und Risiken minimieren
Ein entscheidender Aspekt dabei ist die Reduzierung der Angriffsfläche. Wird ein Multipurpose-Zertifikat kompromittiert, betrifft dies automatisch mehrere Anwendungsbereiche. Durch Umstellung auf Single Purpose Zertifikaten wird dieses Risiko deutlich reduziert, da jede Anwendung ihre eigene, klar abgegrenzte Zertifikatsbasis erhält.

Bessere Compliance
Darüber hinaus spielt auch die Standardisierung eine wichtige Rolle. Einheitliche Vorgaben erleichtern nicht nur die Umsetzung von Sicherheitsrichtlinien, sondern verbessern auch die Auditierbarkeit und Transparenz innerhalb der PKI. Unternehmen können ihre Zertifikatslandschaft dadurch besser kontrollieren und regulatorische Anforderungen einfacher erfüllen.

Das sind die nächsten Schritte
Die Branche hat bereits konkrete Schritte eingeleitet: So werden Multipurpose Roots und Intermediates schrittweise abgeschafft und durch Single-Purpose-Zertifikatshierarchien ersetzt. Damit wird die Nutzung von Multipurpose- Zertifikaten faktisch beendet.

Was bedeutet das für Unternehmen?

Für Unternehmen bedeuten diese PKI-Änderungen 2026 vor allem eines: Handlungsbedarf. Wer seine Zertifikatslandschaft nicht rechtzeitig anpasst, riskiert Sicherheitslücken, Compliance-Probleme oder sogar Systemausfälle.

Im ersten Schritt sollten Unternehmen ihre bestehende PKI genau analysieren. Dabei geht es darum, Transparenz zu schaffen: Welche Zertifikate sind im Einsatz? Wo werden Multipurpose Intermediates genutzt? Und welche Systeme oder Anwendungen hängen davon ab?

Auf dieser Basis kann die Migration auf eine optimierte Zertifikatshierarchie erfolgen. Dabei steht die konsequente Trennung der Anwendungsfälle im Mittelpunkt. TLS/SSL-Zertifikate sollten ausschließlich für Webserver genutzt werden, während für Client-Authentifizierung, S/MIME oder Dokumentensignaturen jeweils eigene Zertifikate eingesetzt werden.

Für spezielle Anforderungen – insbesondere im Finanzsektor – kommen sogenannte X9-Zertifikate zum Einsatz. Diese basieren auf dem ANSI X9-Standard und sind speziell für Umgebungen konzipiert, in denen eine verpflichtende Client-Authentifizierung erforderlich ist, etwa im Online-Banking oder bei sicheren Transaktionssystemen. X9-Zertifikate erfüllen besonders hohe Sicherheits- und Compliance-Anforderungen und ermöglichen eine eindeutige Identifizierung von Kommunikationspartnern. Damit stellen sie eine wichtige Ergänzung zu klassischen SSL-/TLS-Zertifikaten dar, wenn es um hochsichere Authentifizierungsprozesse geht.

Weg von Mehrzweck, hin zu klaren Strukturen

Die Abschaffung von Multipurpose-Zertifikaten ist Teil eines umfassenden Trends innerhalb der IT-Sicherheitsbranche. Bereits in den vergangenen Jahren wurde deutlich, dass sich die Anforderungen an digitale Zertifikate stetig verschärfen.

So wurden beispielsweise die Gültigkeitsdauern von Zertifikaten reduziert, um schneller auf potenzielle Sicherheitsvorfälle reagieren zu können. Auch neue Standards und Richtlinien, etwa durch das CA/Browser Forum, tragen dazu bei, die Sicherheit und Vertrauenswürdigkeit digitaler Zertifikate kontinuierlich zu verbessern.

Die Abschaffung von Multipurpose-Zertifikaten markiert einen wichtigen Schritt hin zu einer sichereren und standardisierten PKI. Auch wenn die Umstellung zunächst mit Aufwand verbunden ist, überwiegen langfristig die Vorteile. Unternehmen profitieren von einer klaren Trennung der Zertifikatszwecke, einer besseren Kontrolle über ihre Infrastruktur und einer einfacheren Einhaltung von Compliance-Vorgaben. Gleichzeitig wird das Risiko von Sicherheitsvorfällen deutlich reduziert.