Ostern gibt es Eier als Überraschung; von D-Trust, einer Tochter der Bundesdruckerei gibt es eine Überraschung dre anderen Art (könnte man als faules Ei ansehen, da die Problematik seit dem 15. März 2026 bekannt ist). Unschön dabei: Administratoren, die D-Trust TLS-Zertifikate auf Websites oder anderswo einsetzen, müssen diese bis Ostermontag, den 6. April 2026, 17:00 Uhr austauschen. Es handelt sich um einen kurzfristigen Rückruf neu ausgegebener TLS-Zertifikate.
Wer ist D-Trust?
Wie bereits oben hingewiesen, ist die D–Trust GmbH ein Unternehmen der Bundesdruckerei-Gruppe und fungiert als ein zertifizierter Vertrauensdiensteanbieter. Das Unternehmen bietet laut Webseite rechtssichere und zertifizierte Vertrauensdienste wie digitale Zertifikate und elektronische Signaturen sowie Lösungen zum sicheren Datenmanagement wie Datentreuhänder-Plattformen an.
Obiger Screenshot zeigt, dass die D-Trust GmbH stark im Geschäft ist, und mit dem virtuellen Institutionsausweis in Kliniken und Praxen, aber auch mit dem Austausch des elektronischen Heilberufsausweis (eHBA) für Ärzte und Therapeuten befasst ist (läuft zum 30.6.2026 ab).
D-Trust und BSI informieren über Zertifikatsaustausch
Es wäre an mir vorbei gegangen, aber Blog-Leser haben mich auf den Sachverhalt und diesen heise-Artikel zum Thema hingewiesen. D-Trust scheint ein Fehler bei der Ausstellung von TLS-Zertifikaten für Webseiten passiert zu sein. Gemäß Einblendung auf der D-Trust-Webseite werden kurzfristig TLS-Zertifikate zurückgerufen.
Betroffen sind TLS-Website-Zertifikate, die von der D-Trust GmbH zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! Betroffene Administratoren müssen neue TLS-Zertifikate beantragen und dann ihre Systeme aktualisieren.
Auch das BSI hat zum 4. April 2026 eine Pressemitteilung herausgegeben, in der das Bundesamt für Sicherheit in der Informationstechnik alle Kunden der D-Trust GmbH dazu aufruft, schnellstmöglich neue Zertifikate für alle Dienste zu beantragen, die mit den betroffenen D-Trust-Zertifikaten abgesichert werden. Neben Webseiten können hier auch weitere Dienste wie zum Beispiel MDM-Verbindungen einen Zertifikatsaustausch erfordern.
Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen – auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff, stellt das BSI klar.
Hintergrund des Schlamassels
Bei Bugzilla gibt es einen Eintrag D-Trust: TLS Precertificates Exceeding the Maximum Validity Period Allowed by the TLS Baseline Requirements, der nach meiner Zählweise am 15. März 2026 entdeckt wurde. Dort heißt es, dass die D-Trust festgestellt habe, dass 19 TLS-Pre-Zertifikate mit einer Gültigkeitsdauer ausgestellt wurden, die die in den TLS-Baseline-Anforderungen festgelegte maximale Gültigkeitsdauer von 200 Tagen überschreitet.
Das Problem wurde eine Weile diskutiert und dann wohl von D-Trust so am 1. April 2026 behoben. Die zwischenzeitlich ausgestellten TLS-Zertifikate müssen dann binnen fünf Tagen verworfen werden (daher der 1. April). Doof ist halt, dass das Auslaufdatum in Deutschland ein Feiertag ist.
MVP: 2013 – 2016
