Kurze Information für Leser, die Zertifikate von D-Trust verwenden. D-Trust zieht am 8. Mai 2026 S/MIME-Zertifikate zurück. Dieser Termin ist ja nicht mehr so weit hin – also nachschauen, ob man betroffen ist. Es betrifft Anwender, die entsprechende S/MIME-Zertifikate zum digitalen Signieren / Verschlüsseln von E-Mails verwenden. Wer betroffen ist, muss neue S/MIME-Zertifikate beantragen, benötigt die abgelaufenen Zertifikate aber noch zum Entschlüsseln bereits empfangener E-Mails.
Tomas Jakobs hatte es gestern (5.5.2026) im Diskussionsbereich angemerkt (danke dafür). Ich ziehe es mal separat raus, weil ich den Einträge im Diskussionsbereich bereinigt habe und nicht jeder den Hinweis im Beitrag SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt liest. Tomas Jakobs schrieb:
Bei D-Trust (also D minus Trust) läufts… alle S/MIME Certs werden am 8. Mai zurückgezogen. Die haben wieder als CA schlampig gearbeitet.
Als Quelle hat Tomas den D-Trust Post Personenzertifikate verlinkt. Ich habe die Meldung mal herausgezogen.
In Folge des TLS-[Zertifikats-]Austauschs Mitte April [2026] (siehe meinen Blog-Beitrag D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch, wo ein Zertifikatswechsel ein "bisserl kurz" passieren musste) hat D-Trust, laut obiger Mitteilung, in einem strukturierten Prozess auch die Prozesse zum Ausstellungsverfahren der eigenen S/MIME Zertifikate überprüft. Hierbei ist festgestellt worden, dass gemäß Baseline Requirements in einzelnen CAs der Linting-Prozess nicht ausreichend implementiert worden war.
D-Trust hat die Anpassung des Prozesses wohl am Montag, den 4. Mai 2026, vorgenommen. Vor diesem Hintergrund tauscht D-Trust die folgenden S/MIME Zertifikate aus:
- Advanced Personal eID
- Advanced Enterprise (inkl. SIG/ENC) ID
- Advanced Team ID
Diese Zertifikatstypen können entsprechend nicht mehr von D-Trust bezogen werden.
Ab Freitag, 8. Mai 2026, werden Zertifikate ungültig
D-Trust schreibt unter Wichtig für Sie: "Da die oben genannten S/MIME Zertifikate ab Freitag, den 08. Mai 2026, 15:00 Uhr, ihre Gültigkeit verlieren, bitten wir Sie, rechtzeitig ein neues Zertifikat zu beantragen. Der Austausch des neuen S/MIME-Zertifikates erfolgt kostenfrei. Wir empfehlen Ihnen, die betroffenen Zertifikate auch nach dem Tausch aufzubewahren. So stellen Sie sicher, dass bereits auch zuvor empfangene E-Mails weiterhin entschlüsselt werden können."
Das dürfte nur Nutzer treffen, wo die oben genannten Zertifikate zum digitalen Signieren / Verschlüsseln von E-Mails verwendet wurden. Man braucht also ab Freitag neue S/MIME Zertifikate, benötigt aber gleichzeitig noch die alten S/MIME Zertifikate, um auf vorhandene verschlüsselte E-Mails zugreifen zu können.
Tomas Jakobs merkt in seinem Kommentar an "Ja sind die gleichen mit den faulen Ostereiern" und verlinkte auf den Blog-Beitrag D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch. Jakobs merkt zudem an, dass D-Trust nicht mal ein Datum oder Changelog ihrer Meldung beigeführt haben. Immerhin: Vom 5. bis zum 8. Mai 2026 ist ja noch massig Zeit, um zu reagieren.
Frage an die Leserschaft: Verwendet jemand von euch solche Zertifikate? Weiß jemand, ob diese Zertifikate bei KIM in Arztpraxen zur E-Mail-Kommunikation benutzt werden? Ich deute eine Kurzrecherche so, dass dort andere D-Trust-Zertifikate verwendet werden.
Anmerkung von Norddeutsch im Diskussionsbereich (ziehe das mal raus):
Dazu hilft Info über den Linting-Prozess: Würde tippen, dass d-Trust für Erstellung/Linting der S/MIME Personenzertifikate selbe Tools nutzte. Das Tool kam zB mit Rechnen bei 200 Tagen nicht klar oder es wurde nicht mit Dummy signiert (Zitat Passwort: "Nicht die Definition eines Linting-Werkzeugs wie [..] in Baseline Requirements vorgeschrieben").
Dazu passt die Pressemeldung: "… Linting-Prozess nicht ausreichend implementiert… "War m. E. diese Folge Passwort / Cristopher von Heise.
Beachtet auch den Nachfolgebeitrag Frust mit D-Trust-Zertifikat – eine Nutzererfahrung mit AATL, und dort einige Benutzerkommentare. Ist in meinen Augen alles nicht so lustig.
Ähnliche Artikel:
SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt
D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch
MVP: 2013 – 2016
Ja, ich und es fällt mir sehr schwer, nicht zynisch zu werden, weil bei mir zwei Dinge gleichzeitig passieren: Dieser Austausch und mein Reseller hört auf.
Zweck: S/MIME und um PDFs zu unterschreiben bzw. mit einer digitalen Signatur zu versehen, damit sie nachweislich unverändert sind.
Ich bin alleine für D-Trust scheinbar zu klein.
Soll auf "Digitale Signage" umsteigen, was für meinen Anwendungszweck die Kosten von ca. 40 € auf > 350 € jährlich steigen lässt und voraussetzt, dass ich die PDFs irgendwo hochlade. Was ist Datenschutz oder Vertraulichkeit gleich nochmal?
Alternativ dazu könnte ich auch ein HSM kaufen, was die Kosten noch weiter hoch treibt und ich soll dann mit QES hantieren. Das ist ja gar nicht überzogen.
Andere S/MIME-Zertifikate bieten die PDF-Signatur scheinbar gar nicht mehr an oder ich habe zumindest nichts mehr gefunden. Hinweise nehme ich gerne entgegen.
Morgen geht noch ein zweiter Artikel online, wo jemand D-Trust für PDF-Signierung gekauft und eine böse Überraschung erlebt hat. Da wird dann ein Anbieter genannt.
Ergänzung: Ist jetzt am Beitragsende weiter oben verlinkt.
Vielen Dank.
Nachdem ich den Artikel gelesen habe: Der genannte Anbieter macht alles Online. Das machen andere Anbieter auch, das führt zu diversen Nachteilen und erhöht den bürokratischen Aufwand massiv (siehe Kommentar von 7. Mai 2026 um 10:40 Uhr).
Trotzdem Danke.
Hi, ich kenne mich zwar nicht ganz so gut aus, wäre vielleicht für dich Sign-Me oder Adobe Sign günstiger oder eine Alternative?
Das ist eine Variante der von mir angesprochenen Upload-"Lösung", die ich ablehne.
Die Dokumente werden laut FAQ auch noch online gespeichert, damit man sie später nochmal runter laden kann. Klingt erstmal kundenfreundlich, hat aber Konsequenzen (siehe unten).
Von all dem halte ich gar nichts, denn das widerspricht Offenlegungsverboten gegenüber Dritten, allgemein dem "privacy by design"-Gedanken des Datenschutzes und u.a. müsste in Technisch-Organisatorischen-Maßnahmen berücksichtigt und im Subunternehmer-Verzeichnis bzw. Verfahrensverzeichnis aufgenommen werden.
Wofür? Das ging vorher für einen Bruchteil der Kosten alles offline, ohne Datenübertragung irgendwohin. Das ist ein Trend, der aufzuhalten ist.
Ich bin ebenfalls betroffen. Als bisheriger langjähriger Nutzer der D-Trust Advanced Personal eID habe ich gestern auch eine E-Mail der PSW GROUP erhalten, mit der Information, dass aufgrund eines formalen Fehlers D-Trust S/MIME-Zertifikate am 8. Mai 2026 widerrufen werden. Betroffen ist auch mein o. g. Produkt.
In der E-Mail heißt es weiterhin, dass u. a. die D-Trust Advanced Personal eID als Produkt von D-Trust eingestellt worden sei. Es wird auf verschiedene Alternativen ausschließlich für D-Trust S/MIME-Zertifikate hingewiesen und ein Rabattcode für eine neue Bestellung von 25 % angegeben.
Die D-Trust Advanced Personal eID wurde noch bis vor wenigen Tagen auch auf der Website der PSW GROUP ausdrücklich auch als zur Dokumentensignierung nach dem AATL-Standard beworben. Die Seite wurde inzwischen vom Netz genommen, aber es gibt ja noch die Wayback Machine. Es sieht also nicht danach aus, dass D-Trust hier einen geordneten Produktwechsel vorgenommen hat.
Meine D-Trust Advanced Personal eID hat noch eine Restlaufzeit von ca. 25 %.
Das Problem ist jedoch, dass D-Trust kein alternatives Produkt mit der kombinierten Funktionalität von S/MIME und Dokumentensignierung nach dem AATL-Standard mehr anbietet, schon gar nicht zu einem Preis von 39,00 EUR pro Jahr.
Die PSW GROUP empfiehlt als Ersatz für die D-Trust Advanced Personal eID die D-Trust S/MIME Individual eID zum Jahrespreis von 33,00 EUR, ohne Dokumentensignierung nach dem AATL-Standard.
Unlimitierte AATL-Signaturen bietet die PSW GROUP ab 399,00 EUR pro Jahr an, von D-Trust ab 722,00 EUR pro Jahr. Um die D-Trust Advanced Personal eID zu ersetzen, müssten also zwei Produkte von D-Trust zu einem Jahrespreis von insgesamt 755,00 EUR erworben werden. Wir reden hier also über eine Preissteigerung von 1.836 %! Das ist völlig inakzeptabel!
Ich habe meine Position gegenüber dem Support der PSW GROUP in zwei E-Mails deutlich gemacht, u. a. mit dem Hinweis zur Weiterleitung an D-Trust: "Ich kann nicht erkennen, wie ein Technologieunternehmen des Bundes unsere digitale Zukunftsfähigkeit fördert, indem es einfache und preiswerte Produkte für eine Vielzahl von kleinen und mittleren Unternehmen abschafft und durch kompliziertere und teurere Produkte ersetzt."
Zukünftig werde ich mich nach alternativen technischen Lösungen umsehen und Produkte von D-Trust meiden.
Ich habe jetzt mal am Artikelende einen Nachfolgebeitrag von heute verlinkt. Es gibt noch mehr Betroffene – und rundet das Bild ab, was ich hier so bekommen habe, als ich vor einiger Zeit mal danach gesucht habe, wie ich ggf. PDF-Dokumente digital signieren könnte.