Wer Zertifikate zum Signieren von E-Mails oder PDF-Dokumenten bezieht, muss ggf. aufpassen, dass er auch die richtigen Zertifikate ordert. Ein Mediziner hat sich im Nachgang zu aktuellen Berichten über zurückgezogene Zertifikate gemeldet und eigene Erfahrungen mit einem D-Trust-Zertifikat berichtet. Er wollte das Zertifikat zum Signieren von E-Mails und PDF-Dokumenten verwenden, stellte aber fest, dass der Adobe Reader D-Trust ablehnt. Ich stelle die Information mal hier im Blog ein, vielleicht verhindert es, dass weitere Leute auf ungeeignete Signatur-Zertifikate hereinfallen. Verbunden ist dies mit der Frage, wie ihr das bei euch löst – oder ist das exotischer Einzelfall und dumm gelaufen?
Momentan kommt ja das Thema Zertifikate, ausgestellt von D-Trust, und dann kurzfristig zurückgerufen, öfters im Blog vor. Anfang April 2026 wurde von D-Trust arg kurzfristig – über Ostern, ein TLS-Zertifikat zurückgerufen (siehe meinen Blog-Beitrag D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch. Gestern berichtete ich, dass D-Trust am 8. Mai 2026 S/MIME-Zertifikate zurückzieht (siehe D-Trust zieht am 8. Mai 2026 S/MIME-Zertifikate zurück). Aber immerhin können die Zertifikatsbesitzer diese beim zum Widerruf nutzen. Es lauern aber noch andere Fallen in Form von ungeeigneten Zertifikaten.
Rückmeldung aus der Ärzteschaft
Im Nachgang zu meinen Blog-Beiträgen (muss wohl dieser Beitrag SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt gewesen sein), ist mir noch eine E-Mail eines Mediziners zugegangen. Der Blog-Leser schrieb, das es nicht nur Probleme bei SSL.com wegen Zertifikatsrückruf, wie im Blog beschrieben, gebe, sondern auch bei D-Trust gäbe es Probleme.
Ungeeignetes Zertifikat bestellt?
Der Leser hatte über PSW ein D-Trust-Zertifikat, Class 2, erworben, mit dem man nicht nur E-Mails, sondern auch PDF-Dokumente signieren kann. Als Arzt ist der Leser mit D-Trust vertraut, weil dort auch Heilberufsausweise ausgestellt werden. Da ist es naheliegend, auch Zertifikate zum Signieren und Verschlüsseln von E-Mails und PDF-Dokumenten bei diesem Anbieter zu ordern.
Der Vorgang, um das D-Trust-Zertifikat, Class 2, verwenden zu können, ist laut einer mir vorliegenden E-Mail schon aufwändig.
- Erste E-Mail: Der Validierungslink in der ersten E-Mail ist nur 24 Stunden gültig und validiert die E-Mail-Adresse, die abgesichert werden soll.
- Zweite E-Mail: Der Validierungslink in der zweiten E-Mail ist 30 Tage gültig. Erst nach erfolgreicher Bestätigung, der ersten E-Mail, wird die zweite E-Mail versendet. Diese validiert Sie als Person über das eID-Verfahren Ihres Personalausweises.
Wenn diese beiden Hürden überwunden sind, kann das Zertifikat eingesetzt werden. Doch die Freude über das schöne D-TRUST-Zertifikat währte laut Leser nur wenige Tage.
Adobe Acrobat lehnt D-Trust-Zertifikat ab
Bei Verwendung der D-Trust Class 2 Zertifikate zum Signieren und Verschlüsseln von E-Mails gibt es keine Probleme. Der Leser ist aber, so meine Interpretation, in das Problem gelaufen, dass das Zertifikat beim Signieren von Adobe PDF-Dokumente im Adobe Reader abgelehnt wurde.
Der Leser hat mich auf eine KI-Zusammenfassung von Google Gemini verwiesen, die einige Erklärungsversuche bietet (ob es stimmt, was Gemini schreibt, mache ich ein Fragezeichen dran). Es sieht laut (Google Gemini) so aus, dass D-Trust nicht mehr in der AATL (Adobe Approved Trust List) enthalten ist. Ob dies (wegen der oben angerissenen Vorfälle) temporär oder dauerhaft der Fall ist, bleibt unklar.
Preisgünstige Lösung für PDF-Signaturen
Der Leser schrieb mir: "Falls jemand eine preisgünstige Lösung zur Signierung von PDF-Dokumenten sucht, wird er beim europäischem Anbieter Skribble fündig".
Für Einzelunternehmer wird "Starter" wahrscheinlich hinreichend sein, meine der Blog-Leser und verwies noch auf die Preisstruktur. Dort bekommt man das Zertifikat kostenlos und bezahlt dann pro Signaturvorgang.
Ergänzende Informationen des Lesers
Ich hatte dem Leser den Text hier vorab zum Lesen zukommen lassen. Inzwischen haben mich einige ergänzende Information erreicht, die ich nachtrage. Der Leser hält PSW für einen sehr seriösen Anbieter von verschiedenen Zertifikaten für unterschiedliche Einsatzgebiete, wie er betont. Aber in seiner Beschreibung schimmert die praktische Erfahrung durch, die ich nur bestätigen kann: Es gibt zu viele Klippen und dann werfen die ausgebenden Stellen einem noch Knüppel zwischen die Beine.
Ein Zeitproblem beim Einsatz
Laut Aussage des Lesers installierte er das erste Zertifikat von D-Trust am Samstag, 24. April 2026. Die Version D-Trust Advance Class 2 kostete nur sechs Euro mehr, schrieb der Leser und ergänzte "ich empfand die Möglichkeit, damit auch PDF-Dokumente signieren zu können, als sinnvoll". Zehn Tage nach der Installation kam dann die Nachricht von PSW, dass die Zertifikate von D-Trust widerrufen werden.
Mit den einfachen S/MIME-Zertifikaten (Class 2) mit denen man nur E-Mails signieren und verschlüsseln kann, hätte es keine Probleme gegeben, schrieb der Leser. Aber die Option, auch PDF-Dokumente signieren zu können, klappt es nicht. Dazu schreibt der Leser "Die Herausforderung für mich stellte sich in der Kürze der Zeit dar." Nach einem Tag in der Praxisarbeit ist unter der Woche einfach "die Luft raus", weshalb der Leser so etwas bevorzugt auf das Wochenende legt. Diesmal seit das, angesichts des Widerrufs am Freitagnachmittag, nicht möglich gewesen.
Da schimmert der Alltag bei Endanwender durch, bei denen Zertifikatsauswahl und -wechsel nicht zum Tagesgeschäft gehören. Wenn das nicht foolproof abläuft, geht das mit Sicherheit schief. Kann ich persönlich unterschreiben! Immer wenn ich hier im Blog Kommentare der Art "ist alles kein Problem, da nimmt man …" vernehme und dann auf die Suche gehe, bin ich i.d.R. spontan abgetörnt.
Da tauchen dann Beträge von vielen hundert Euro pro Jahr, ob gekoppelt mit Zusatzklauseln wie Kosten pro Signatur etc., auf. Und auf die Schnelle ist auch noch unklar, ob ein Zertifikat wirklich das macht, was man im Sinn hat (z.B. E-Mail und PDFs per Signatur abdecken).
Unter dem Strich setze ich abseits des SSL-Zertifikats für den Webserver des Blogs (das läuft über all-inkl.com zuverlässig und mit automatisierter Verlängerung) derzeit nur ein Elster-Zertifikat (läuft auch, bis auf einen Fall aus 2014) zuverlässig, sowie PGP im Thunderbird (empfinde ich als nervig) ein. Beim Rest bin ich sozusagen "in der Etappe liegen geblieben".
Zertifikatserstellung per PSW-Konverter nicht trivial
Der Leser merkt an, dass der Vorgang zur Erstellung und dem Wechsel von Zertifikaten für manche IT-Fachleute zum Tagesgeschäft gehört, und diese einiges vielleicht anders sehen. Für ihn erscheine die Zertifikatserstellung per PSW-Konverter aber nicht go ganz trivial. Er hat mich auf die PSW-Anleitung Wie erstelle ich eine PFX-Datei über die PSW-Konsole? hingewiesen, wo dies beschrieben ist.
Der aktuelle Stand ist, dass der Arzt die Erstellung samt dem Wechsel der Zertifikate und Verteilung auf Microsoft Outlook (Classic) und Thunderbird am Mittwoch (6.5.2026) erfolgreich abschließen.
Der Leser schreibt: "Meine SMC-B-Karte (Praxisausweis) und der eHBA (Arztausweis) stammt von Medisign, mein KIM-Zertifikat von T-Systems. Hier bewege ich mich also nicht im D-Trust-Kosmos. Und die Telematik im deutschen Gesundheitswesen läuft bei mir weitgehend störungsfrei, was aus meiner Sicht einem Luxuszustand entspricht."
Er hat sich für die S/MIME-Zertifikate von D-Trust entschieden, da er, wegen der aktuellen politischen Entwicklungen, europäische und insbesondere deutsche Anbieter bevorzugt. Bei D-Trust hoffte er wegen der Zugehörigkeit zur Bundesdruckerei auf höchste Professionalität und Zuverlässigkeit.
Nervig, wenn den Anwender dann noch Widerrufe treffen – wackeliges Fundament?
In seiner Mail ergänzt der Leser, dass Probleme mit den Zertifikaten häufiger aufzutreten scheinen. Er hat mir einen Screenshot einer Nachricht PSW zukommen lassen, wo am 5. Mai 2026 ein Widerruf von DigiCert-Zertifikaten angezeigt wird
Die betroffenen Kunden werden zwar separat informiert. Die in obigem Screenshot, sowie die hier im Blog thematisierten D-Trust- und SSL.com-Zertifikatswiderrufe könnte man ja auch als "Leute, klärt mal eure Prozesse, als Endanwender oder IT-Dienstleister habe ich anderes zu tun, als eure Fails aufzuwischen" interpretieren.
Oder von mir anders ausgedrückt: Wenn die Handhabung der Zertifikatsketten zu komplex wird, dürfte die Akzeptanz und Anwendbarkeit leiden und es läuft auf Sicherheitstheater hinaus. Die Verkürzung der Gültigkeitsdauer von Zertifikaten ist aus Sicherheitsgründen zwar irgendwie nachvollziehbar, wird imho aber vermehrt zu Kollateralschäden führen.
Sichtweise des Lesers als Nutzer der Lösungen
Der Leser schrieb mir dazu: "Im Alltag überzeugen mich beide Lösungen, S/MIME und PGP, nicht so ganz". IT-affine Anwender, die sich für E-Mail-Sicherheit interessieren, hätten nach Einschätzung des Lesers damit keine großen Schwierigkeiten. Von anderen Personen bekomme er öfters die Rückmeldung, "sie könnten die Datei im Anhang der E-Mail nicht öffnen, ob ein Fehler vorliegen würden". Gemeint ist in diesem Fall die Signatur oder der öffentliche Schlüssel. Meist werde dabei der E-Mail-Verkehr über den Browser mit dem Web-Mailer durchgeführt.
Beweggrund für den Leser zum Kauf eines S/MIME Class 2 für den E-Mail-Versand war, dass der Empfänger ohne großen Aufwand feststellen kann, dass er geantwortet habe und dass die Nachricht auf dem Übertragungsweg nicht durch Dritte oder Software verändert wurde. Auch eine Verschlüsselung sei unkompliziert möglich, falls die andere Person ebenfalls ein S/MIME-Zertifikat verwendet.
Meine Erinnerung an ein S/MIME-Zertifikat
Mir fällt da nur eine persönliche Episode mit einem S/MIME-Zertifikat einer Sozialbehörde (Landeswohlfahrtsbund Hessen) ein. Damit, so hieß es, könnte ich verschlüsselt und digital signiert E-Mails mit der Behörde austauschen (hätte ich für einen Familienangehörigen gebraucht).
Mir ist es, vor ca. zwei Jahren, trotz mehrerer Anläufe nicht gelungen, das S/MIME-Zertifikat im Thunderbird funktionsfähig einzurichten. PGP-Verschlüsselung habe ich zur Kommunikation mit mehreren Lesern im Thunderbird aktiv. Aber offen gesprochen, foolproof und einfach handhabbar empfinde ich das nicht. Und wenn ich die Change-Logs bei Thunderbird-Updates die letzten Jahre so verfolgt habe, wurden doch ständig Fehler in diesem Bereich behoben. Auch bei Outlook gibt es immer wieder Support-Artikel zu Problemen in diesem Bereich.
Man kann es auch platt auf den Punkt bringen: "Wir sehen seit Jahren eine Abstimmung mit den Füßen". Eigentlich müsste digitale Signatur und Verschlüsselung bei E-Mail der Standard sein. Praktisch bekomme ich vielleicht 0,001 % der E-Mails in dieser Form zugestellt. Ein normaler Nutzer weiß mutmaßlich nicht mal, was eine digitale Signatur oder eine verschlüsselte E-Mail ist.
Der oben erwähnte Leser schrieb mir im Nachgang noch, dass beim Berliner Anbieter Posteo ein preiswerte S/MIME Class 1 Zertifikate von Certum (Polen) für 3,65 Euro im Jahr für seine E-Mail-Kunden angeboten werde.
Was verwendet ihr für Zertifikate?
Wie sieht es bei euch in der Leserschaft aus? Verwendet ihr Zertifikate zum Signieren und Verschlüsseln von E-Mails und zum Signieren von PDF-Dokumenten? Falls ja, welche Zertifikate werden eingesetzt und was kosten die?
Gerade im Rechnungsversand per E-Mail lauern für Unternehmer juristische Fallen, wie ich im Blog-Beitrag Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend aufgezeigt habe. Manche Gerichte fordern eine digitale Signatur der PDF-Rechnung, wenn Haftungen durch Rechnungsfälschungen auf dem Übermittlungsweg durch den Rechnungsversender ausgeschlossen werden sollen. Zum obigen Blog-Beitrag gibt es ja entsprechende Diskussionen. Und mit der verpflichtenden elektronischen Rechnung im B2B-Bereich wir der Rechnungsaustausch per E-Mail zunehmen. Eine Abhandlung eines Juristen zu den vielen komplexen Fragestellungen findet sich auf anwalt.de.
MVP: 2013 – 2016
D-Trust S/MIME Zertifikate konnten bislang auch zum Signieren von PDFs verwendet werden. Dass das eingestellt werden wird (dauerhaft), wurde von PSW bereits erstmals im August 2024 kommuniziert. Das ist die älteste uns dazu vorliegende E-Mail.
Im Bestellvorgang können Funktionen der Zertifikate eingesehen werden. Wenn man nun das "falsche" Zertifikat bestellt hat, liegt das Versäumnis eher beim Besteller. Das Thema der Zertifikate und deren Varianten ist auch recht komplex.
PSW bietet einen guten Support an, der genau solche Fragestellung vorab klären kann. Zudem sind die meisten Zertifikate auch stornierbar.
Gibt diverse einsetzbare Varianten (https://www.psw-group.de/esigning/), hängt jedoch sehr vom Anwendungsfall ab.
Wir nutzen derzeit noch D-Trust S/MIME für Mail und PDFs.
Alle Online-Verfahren haben einen gravierenden Nachteil: All das, was nur zwischen den betroffenen Parteien bekannt war, wird nun ohne Notwendigkeit Dritten gegenüber offen gelegt. Es ist auch nur einen Vorfall davon entfernt, öffentlich zu sein.
Firmen oder Selbständige, die solche Dienste nutzen, müssten ihr Subunternehmer-Verzeichnis (Kunden müssen in der Regel vorher um Erlaubnis gefragt werden), das Verfahrensverzeichnis erweitern und auch Auftragsverarbeitungsverträge abschließen, da personenbezogene Daten durch andere verarbeitet werden.
Also noch mehr Aufwand, den niemand bezahlt, denn das betrifft ja auch Bestandskunden.
Bislang konnte das alles offline gehandhabt werden.
Interessanter Einwurf, der nicht von der Hand zu weisen ist.
Ich kann wie der Vorposter nur bestätigen: PSW ist sehr kompetent und hat mich bei S/MIME, Codesign und PDF signierenden Certs sehr gut bei Problemen unterstützt. Dass D-Trust nicht mehr auf der Adobe Approved Trust List (AATL) wäre mir neu und lese ich jetzt auch zum ersten Mal. Bislang war das der Vorteil von denen.
Das mit dem "Gerichte fordern eine digitale Signatur der PDF-Rechnung" stimmt so nicht. Tatsächlich ist die Rechtsprechung da ziemlich uneinheitlich und hängt mehr vom Sachverstand eines Richters, denn von einer gefestigten Rechtsentwicklung ab.
Insgesamt lässt sich sagen, dass der Markt um die Adobe Approved Trust List (AATL) ziemlich kaputt ist. Wie das Ganze mit Signierung funktioniert und wie die juristische Lage aussieht, habe ich letztes Jahr beschrieben:
https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/
Nachdem ich jahrzehnte S/MIME genutzt habe und meine Gegenüber ebenfalls mit S/MIME an einer Hand mit drei Finger abzählen konnte, habe ich für mich entschieden, keine mehr einzusetzen.
Wie S/MIME strukturell kaputt ist, was man auch nicht mehr so einfach los wird, zeigt der Vortrag zu efail vor einigen Jahren sehr gut:
https://media.ccc.de/v/35c3-9463-attacking_end-to-end_email_encryption
Nutzt PGP/GPG signierte Emails für einen Rechnungsversand. Damit lässt ihr einen Empfänger frei entscheiden, ob er diese validieren will oder nicht und das Risiko z.B. beim Rechnungsversand ist man so los.
Und nutzt Email als Kommunikationsmittel und nicht als Marketingwitz mit HTML-Formatierungen, lustigen (und unwirksamen!) Disclaimern und drölfzig Logos und Links zu sogenannten sozialen Medien. Zu den unsäglichen Disclaimern und den Deppen, die sowas machen, habe ich auch was passendes geschrieben
https://blog.jakobs.systems/blog/20250709-disclaimer-you-have-been-warned/
Gerichte (zumindest in NRW) nehmen auch PGP/GPG verschlüsselte Mails an. Klappt gut, wenngleich ist so typisch deutsch: Die Mail wird in der Poststelle eines Gerichtes ausgedruckt und dann per Gerichtspost dem Richter zugestellt so wie ich da bei einem Fall mitbekommen habe.
>> Nutzt PGP/GPG signierte Emails für einen Rechnungsversand.
Darf ich — als Privatperson — fragen, auf welchem Weg Du den Empfängern den zugehörigen Public Key zukommen lässt?
1) Zum Lesen signierter Emails bedarf es keines Schlüsseltausches.
2) Wie im Artikel dargelegt, kannst Du frei entscheiden, eine solche Email mit Signatur zu validieren insb. wenn Rechnungen mit höheren Beträgen auf diesem Weg transportiert wurden, siehe den im Blog vorgestellten Fall mit der 15K Rechnung, die dann doppelt zu begleichen wäre.
2) Der Public Key wird i.d.R. über die eigene Website zum Download angeboten inkl. einem Fingerprint. Alle Gerichte in NRW bieten sowas z.B. an. Bessere Unternehmen ebenfalls. Alternativ zusätzlich über die üblichen öffentlichen Keyserver, die jede bessere Schlüsselverwaltung abfragt (die Windows native nicht, Kleopatra bzw. Gpg4win als freie GPG/PGP Lösung für Windows schon).
Wie gehst Du damit um, dass man von Keyservern keine Keys mehr entfernen kann, und niemand prüft wenn jemand einen Key in deinem Namen hochladet (z.b. mit einem netten Kommentar als Addon) ?
"dass man von Keyservern keine Keys mehr entfernen kann"
Falschaussage! Du kannst selbstverständlich Keys revoken.
"einen Key in deinem Namen hochladen" – Falschaussage!
Dann hast Du ganz andere Probleme, weil Du keine Kontrolle mehr über Deinen Rechner mehr hast.
Du schreibst Bullshit.
Jein. Hat mit der Kontrolle über seinen Rechner nichts zu tun.
Jeder kann sich eine Email-Addresse „tomas.jakobs@mailserver.com" zulegen, einen Public Key auf einen entsprechenden Server hochladen, seine Emails schön signieren und so tun, als sei er Du. Wer nicht weiß, wie das technisch und organisatorisch funktioniert — also fast alle —, könnte leicht darauf hereinfallen.
Das ist dann aber eine andere Baustelle. Stichwort „Digitale Identität",
…nur hat ein mailserver.com überhaupt nichts mit meiner eigenen Domain zu tun. Genauso wie es mindestens drölfzig andere gibt, die genauso wie ich heißen und gmail Konten haben.
Der oben eingebrachte Einwand ist und bleibt eine Falschaussage…
Zu (1): Ja, klar. Eine Signatur bringt aber nur einen Mehrwert, wenn Du sie verifizieren kannst. Und dazu brauchst Du in irgendeiner Form den Public Key. Oder?
Zu (3): Danke. Hintergrund meiner Frage war eine versuchte elektronische Kommunikation mit einer Behörde (kein Gericht). Man sagte mir, dass man nur mittels *verschlüsselter* Email kommuniziere.
Ich dachte: Dass ich das noch erleben darf… Hier ist eine signierte Email von mir, im Anhang der zugehörige Public Key (PGP). Wie finde ich Euren Public Key? — Konnte man mir nicht sagen. In den Keyservern, die Thunderbird abfragt, war nichts. Letztlich habe ich einen Brief geschrieben.
CAcert und Certum sind problemlos. Ganz wichtig: Der private Schlüssel darf das Gerät nicht verlassen und keinesfalls beim Anbieter gepeichert oder generiert werden!
PGP ist nur Gefrickel, sonst nichts. S/MIME funktioniert hervorragend, wenn man ein paar grundlegende Dinge betrachtet. Wichtig: "nur Next" Nachrichten versenden und den ganzen völlig unnötigen HTML bloat weglassen. Und nicht vergessen, die abgelaufenen Zertifikate mit dem private Key zu speichern, sonst kann man alte Nachrichten nicht mehr lesen, jedenfalls dann nicht, wenn man ein richtiges Emailprogramm verwendet. Von Emailsignatur über ein Webinterface ist abzuraten, denn dann braucht der Anbieter Deinen privaten Key.
Zudem kann ich den Linter von Sectigo empfehlen: https://crt.sh/lintcert
Kleine Ergänzung zu den Kosten: Bei wenigen Signaturen ist Skribble sicher bequem und preislich okay.
Wenn man aber viele PDFs im Jahr qualifiziert unterschreibt, kann eine D-Trust-Signaturkarte schnell günstiger sein. Die Karte kostet zwar erstmal Geld und braucht passende Software/Hardware, aber man zahlt dann nicht jede einzelne Signatur wie bei Skribble separat.
Für Vielsignierer würde ich daher die Signaturkarte nicht vorschnell abschreiben.
Ich hatte bei SSLPlus ein Class 2 X.509 Zertifikat bei Certum bestellt. Auch hier wurde das Zertifikat im März mit sehr kurzer Vorlaufzeit zurückgerufen. E-Mail Mitteilung am 6. 3. 16:30, ungültig ab 7. 3. 9:15.
Der Prozess der Ausstellung und Umwandlung ist ja schon einigermaßen kompliziert. SSLPlus war dann sehr hilfreich und hat die Ausstellung eines neuen angestoßen, was auch ausgestellt wurde. Leider gelingt es mir nicht mehr, Thunderbird zu überreden, dieses neue Zertifikat auch zu verwenden. Ich kann es im TB installieren, aber beim Signieren findet er dann kein gültiges Zertifikat.
Mittlerweile habe ich es aufgegeben.
E-Mail Verschlüsselung scheint man einfach generell verhindern zu wollen. Die ehemalige Fraunhofer-Initiative gibt es ja auch seit langem nicht mehr.
>Der oben erwähnte Leser schrieb mir im Nachgang noch, dass beim Berliner Anbieter Posteo ein preiswerte S/MIME Class 1 Zertifikate von Certum (Polen) für 3,65 Euro im Jahr für seine E-Mail-Kunden angeboten werde.
Das Zertigikat kann ich aber nur in Verbindung mit einem posteo Postfach erwerben. Am besten man holt sich das gleich von certum direkt. Ist preislich auch absolut OK.
Wenn man aber auf eine gute Verbreitung ziehlt, darf das nichts kosten – siehe Letsencrypt. Erst nachdem Letsencrypt gestartet wurde, werden nahezu alle Websites mit Verschlüsselung betrieben. Genauso sollte das bei E-Mail ablaufen: Kostenlos anbieten, Verbreitung sichern, Mailclients ziehen automatisch nach.
Ich habe als Privatmensch bisher vielleicht zwei, drei – sicher nicht mehr als ich Finger an der Hand habe – PDFs mit meinem Volksverschlüsselungs-Zertifikat signiert und per Mail versandt. Alles unwichtiges Zeugs wie z.B. Mietverträge für Grillplätze.
Das Zertifikat läuft nun im November aus, neue gibt's ja nicht mehr. Aber vermutlich hätte es auch gereicht, wenn ich die mit einem self-signed Zertifikat unterschrieben hätte – mehr Schein als Sein, aber halt nicht wirklich korrekt.
De facto wird es wohl künftig darauf hinauslaufen, dass ich es einfach wie alle anderen Privatleute auch mache: gar nicht signieren. Stört die Empfänger ja auch nicht :/