Kurze Information für Leser, die Zertifikate von D-Trust verwenden. D-Trust zieht am 8. Mai 2026 S/MIME-Zertifikate zurück. Dieser Termin ist ja nicht mehr so weit hin – also nachschauen, ob man betroffen ist. Es betrifft Anwender, die entsprechende S/MIME-Zertifikate zum digitalen Signieren / Verschlüsseln von E-Mails verwenden. Wer betroffen ist, muss neue S/MIME-Zertifikate beantragen, benötigt die abgelaufenen Zertifikate aber noch zum Entschlüsseln bereits empfangener E-Mails.
Tomas Jakobs hatte es gestern (5.5.2026) im Diskussionsbereich angemerkt (danke dafür). Ich ziehe es mal separat raus, weil ich den Einträge im Diskussionsbereich bereinigt habe und nicht jeder den Hinweis im Beitrag SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt liest. Tomas Jakobs schrieb:
Bei D-Trust (also D minus Trust) läufts… alle S/MIME Certs werden am 8. Mai zurückgezogen. Die haben wieder als CA schlampig gearbeitet.
Als Quelle hat Tomas den D-Trust Post Personenzertifikate verlinkt. Ich habe die Meldung mal herausgezogen.
In Folge des TLS-[Zertifikats-]Austauschs Mitte April [2026] (siehe meinen Blog-Beitrag D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch, wo ein Zertifikatswechsel ein "bisserl kurz" passieren musste) hat D-Trust, laut obiger Mitteilung, in einem strukturierten Prozess auch die Prozesse zum Ausstellungsverfahren der eigenen S/MIME Zertifikate überprüft. Hierbei ist festgestellt worden, dass gemäß Baseline Requirements in einzelnen CAs der Linting-Prozess nicht ausreichend implementiert worden war.
D-Trust hat die Anpassung des Prozesses wohl am Montag, den 4. Mai 2026, vorgenommen. Vor diesem Hintergrund tauscht D-Trust die folgenden S/MIME Zertifikate aus:
- Advanced Personal eID
- Advanced Enterprise (inkl. SIG/ENC) ID
- Advanced Team ID
Diese Zertifikatstypen können entsprechend nicht mehr von D-Trust bezogen werden.
Ab Freitag, 8. Mai 2026, werden Zertifikate ungültig
D-Trust schreibt unter Wichtig für Sie: "Da die oben genannten S/MIME Zertifikate ab Freitag, den 08. Mai 2026, 15:00 Uhr, ihre Gültigkeit verlieren, bitten wir Sie, rechtzeitig ein neues Zertifikat zu beantragen. Der Austausch des neuen S/MIME-Zertifikates erfolgt kostenfrei. Wir empfehlen Ihnen, die betroffenen Zertifikate auch nach dem Tausch aufzubewahren. So stellen Sie sicher, dass bereits auch zuvor empfangene E-Mails weiterhin entschlüsselt werden können."
Das dürfte nur Nutzer treffen, wo die oben genannten Zertifikate zum digitalen Signieren / Verschlüsseln von E-Mails verwendet wurden. Man braucht also ab Freitag neue S/MIME Zertifikate, benötigt aber gleichzeitig noch die alten S/MIME Zertifikate, um auf vorhandene verschlüsselte E-Mails zugreifen zu können.
Tomas Jakobs merkt in seinem Kommentar an "Ja sind die gleichen mit den faulen Ostereiern" und verlinkte auf den Blog-Beitrag D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch. Jakobs merkt zudem an, dass D-Trust nicht mal ein Datum oder Changelog ihrer Meldung beigeführt haben. Immerhin: Vom 5. bis zum 8. Mai 2026 ist ja noch massig Zeit, um zu reagieren.
Frage an die Leserschaft: Verwendet jemand von euch solche Zertifikate? Weiß jemand, ob diese Zertifikate bei KIM in Arztpraxen zur E-Mail-Kommunikation benutzt werden? Ich deute eine Kurzrecherche so, dass dort andere D-Trust-Zertifikate verwendet werden.
MVP: 2013 – 2016
