Ein Blog-Leser hat mich zum 17. April 2026 darüber informiert, dass die Zertifikatsstelle SwissSign aus der Schweiz E-Mail S/MIME Silver-Zertifikate widerruft. Das könnte für den einen oder anderen aus der Leserschaft relevant sein.
In einer mir vom Leser zugeschickten E-Mail heißt es im Betreff: "Wichtige Information zu Ihren E-Mail S/MIME Silver Zertifikaten von SwissSign || Important information regarding your E-Mail S/MIME Silver certificates from SwissSign":
Sehr geehrte Damen und Herren
Dieses Schreiben enthält wichtige Informationen zu Ihren E-Mail S/MIME Silver Zertifikaten, die Sie über die Managed PKI bezogen haben.
Aufgrund eines formalen Fehlers in bestimmten Zertifikaten ist es erforderlich, diese kurzfristig zu widerrufen (zu revozieren) und zu ersetzen.
Auch wenn es sich ausschliesslich um einen formalen Mangel handelt und keine sicherheitsrelevanten Risiken bestehen, ist SwissSign gemäss den Vorgaben des CA/Browser Forums verpflichtet, die betroffenen Zertifikate zu revozieren.Der zugrunde liegende Fehler wurde inzwischen behoben. Sie können daher für den Ersatz weiterhin dasselbe Produkt verwenden.
Betroffen sind alle DV E-Mail Zertifikate "SwissSign Personal S/MIME E-Mail ID Silver", die zwischen dem 15. Juli 2025 00.00 Uhr und 17 April 2026 17:00 Uhr ausgestellt wurden.
Diese Zertifikate müssen bis spätestens 22. April 2026 15.00 Uhr (MEZ) ersetzt werden.
Alle zu diesem Zeitpunkt noch ausgestellten betroffenen Zertifikate wird SwissSign am 22. April 2026 um 15:00 Uhr (MEZ) unter Einhaltung der Vorgaben des CA/Browser Forums widerrufen (revozieren).Wir bitten Sie, die notwendigen Massnahmen rechtzeitig einzuplanen und danken Ihnen für Ihre Kenntnisnahme und Ihr Verständnis.
Für Rückfragen stehen wir Ihnen gerne zur Verfügung.Freundliche Grüsse
SwissSign AG
Ergänzung vom 21. April 2026: Mir liegt, neben einem der nachfolgenden Kommentare, noch eine weitere Leser-E-Mail vom 20. April 2026 vor. Der Leser teilte mir mit, dass sein S/MIME Zertifikat kurzfristig zum 22. April aufgrund von einem Fehler widerrufen werde.
Leider sei nicht ganz klar wieso, schrieb der Leser. Aber das Zertifikat entspricht wohl nicht den Anforderungen des CA/Browser Forums. Erinnert den Leser an D-Trust (siehe D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch). Diese E-Mail ist vom Absender signiert, man kann das Zertifikat bei Bedarf also anschauen. Die Mail mit der Benachrichtigung zum Zertifikatswiderruf kam am 20. April 2026 um 21:18 Uhr. Das "brennt also was". Nachfolgend noch der Inhalt der Mail (persönliche Informationen entfernt).
Sehr geehrte Kundin, sehr geehrter Kunde
Diese Nachricht enthält wichtige Informationen zu Ihrem S/MIME-Zertifikat, welches Sie über den SwissSign Webshop bezogen haben und derzeit unter der E-Mail-Adresse <> im Einsatz ist.
Im Rahmen einer Qualitätsprüfung wurde festgestellt, dass Ihr Zertifikat einen formalen Fehler aufweist. Das Problem ist rein formal und hatte zu keinem Zeitpunkt Auswirkungen auf die Sicherheit oder Vertrauenswürdigkeit Ihres Zertifikates. Dennoch müssen die betroffenen Zertifikate gemäss den Anforderungen des CA/Browser Forums widerrufen und ersetzt werden.
Was bedeutet das für Sie als Webshop-Kunde?
- Ihr Zertifikat lautend auf die E-Mail-Adresse <> muss bis spätestens 22. April 2026, 15:00 (MEZ) ersetzt werden.
- Alle betroffenen Zertifikate, die zu diesem Zeitpunkt noch aktiv sind, werden von SwissSign widerrufen.
- Im Zuge der notwendigen Neuausstellung profitieren Sie erneut von der gesamten Laufzeit des Zertifikats.
Wie funktioniert der Ersatz für Webshop-Kunden?
- SwissSign stellt Ihnen nachfolgend Ihren neuen Enrollment-Code zur Verfügung, damit Sie Ihr Ersatz-Zertifikat ohne zusätzliche Kosten ausstellen können.
- Sie können diesen Code sofort verwenden, um das neue Zertifikat auszustellen. Wir empfehlen, den Ersatz so bald wie möglich vorzunehmen, spätestens jedoch bis zum 22. April 2026, 15:00 (MEZ).
Ihr Enrollment-Code: …
Eine detaillierte Anleitung zum Ersetzen Ihres Zertifikats finden Sie unter folgendem Link: Anleitung Zertifikats-Ersatz (PDF)
Wenn Sie Fragen haben oder Unterstützung benötigen, hilft Ihnen unser Support-Team gerne weiter.
Wir entschuldigen uns für die entstandenen Unannehmlichkeiten und danken Ihnen für Ihr Verständnis.
Freundliche Grüsse
SwissSign AG
MVP: 2013 – 2016
Klingt nach demselben Fehler wie D-Trust (Laufzeit).
So lästig die Laufzeitverkürzung auf 199 (nächstes Jahr 99) Tage auch ist, sie scheint harsch durchgesetzt zu werden.
Ich kann schon verstehen, daß sich immer mehr Anbieter zumindest aus dem Angebot kostenloser S/MIME Zertifikate zurückziehen (Actalis kostet seit letztem Jahr auch Geld) und Let's Encrypt bietet kein S/MIME.
Wenn das gesamte PKI-System strukturell kaputt ist – und es ist kaputt – dann nutzt auch die hunderttausendste Laufzeitverkürzung von Zertifikaten auf 5 Millisekunden Gültigkeit nichts.
Der einzige Erfolg ist, dass Nutzer und Admins zunehmend genervt sind, der Aufwand steigt, Ausfälle häufiger werden und Sicherheit und Funktionalität darunter leiden und nicht steigen.
Wenn das PKI System in Ordnung wäre – könnte man auch Zertifikate für tausend Jahre ausstellen und es wäre kein Problem. Anstatt also ständig an der Laufzeit zu drehen sollte mal das ganze bisherige PKI-System auf den Müll befördert werden und was neues her.
Ist doch Software – man könnte doch also wenn man nur wollte…
Die Gratis-Zertifikate von Actalis waren eh nie vertrauenswürdig, weil die Private-Keys immer von Actalis erzeugt wurden. Wenigstens weiß man so direkt, dass der Absender eine Knalltüte ist.
Nur gelten diese Zeiten ja nicht für SMIME-Zertifikate und da ist die letzte Verkürzung ja schon ne Weile her.
Zur Info, dies kann auch Nutzer von noSpam Proxy betreffen, hier gibt es eine Anbindung an die SwissSign MPKI
Betrifft vermutlich alle Gateway-Lösungen, die auch SwissSign als CA Anbieter nutzen. In unserem Fall Zertificon.
Mittlerweile gibt es von NoSpamProxy auch einen Blog-Beitrag dazu.
Darin ist wird auch auf die Hintergründe des Widerrufs eingegangen (seitens SwissSign gab bzw. gibt es bisher dazu keine öffentliche Erklärung).
https://www.nospamproxy.de/de/swisssign-widerruft-smime-zertifikate-was-nospamproxy-kunden-jetzt-wissen-muessen/
Wir haben diese E-Mail gestern abend bekommen, und sollen jetzt in 30 Stunden 79 Zertifikate austauschen, bei Benutzern die sonst wo in der Republik umherkurven oder aus sonstwelchen Gründen nicht erreichbar sind. Bravo!
Der Grund für den Widerruf war kein Laufzeitproblem wie bei D-Trust, sondern effektiv ein Dokumentationsfehler:
https://bugzilla.mozilla.org/show_bug.cgi?id=2033000
"Today, our auditors informed us about an error in chapter 3.3.1.7 in our CPR S/MIME (https://repository.swisssign.com/SwissSign_CPR_SMIME.pdf ) in the field commonName against the S/MIME BR chapter 7.1.4.2.2 'Subject distinguished name fields'. This chapter defines the content of this field as 'Mailbox Address' while our CPR shows for the commonName: 'GivenName Surname or pseudo: Pseudonym (mandatory)'."
Das spannende daran ist: die Zertifikate waren konform (Email-Adresse im commonName).
Da aber die Zertifikate anders ausgestellt wurden als dokumentiert, ist dies nicht compliant.